Jump to content 日本-日本語

ソフトウェア  >  セキュリティ

HP IceWall SSO

HP IceWall技術レポート:パフォーマンス特集(3)

IceWall ソフトウェア

認証技術開発センター・
認証コンサルティング
サポート
導入サービス
お客様事例
技術レポート
カタログ
デモセンター
IceWallニュース
お問い合わせ
IceWall製品サイト一覧
IceWall ソフトウェア
IceWall SSO
IceWall MFA
IceWall Identity Manager
IceWall Federation
IceWall MCRP
IceWall Remote Configuration Manager
IceWall QFS
   
IceWall サイトマップ
English
IceWall SSO(English)
IceWall Federation(English)
IceWall Remote Configuration Manager(English)
日本ヒューレット・パッカード セキュリティページ
日本ヒューレット・パッカード メールニュース
サイトマップ
Webからのお問い合わせ、資料ダウンロードはこちら
※IceWall SSO は株式会社SCCとの共同開発製品です。
コンテンツに進む
HP IceWall SSOのパフォーマンス調査方法 HP IceWall SSOのパフォーマンス調査方法
1.フォワーダのパフォーマンス情報取得
2.PERFログによる認証モジュールのパフォーマンス情報取得
3.info-certコマンドによる認証モジュールのパフォーマンスデータ取得

技術レポート一覧へ戻る
HP IceWall SSOパフォーマンス特集の第3弾は、「パフォーマンス情報を見る方法」です。

本トピックでは、HP IceWall SSOのパフォーマンスに関する調査の際に役立つ技術情報をご紹介していきます。以下の項目を順を追って解説していきます。

  • およびパフォーマンスが落ちている場合の調査箇所について
  • フォワーダのパフォーマンス情報取得
  • PERFログによる認証モジュールのパフォーマンス情報取得
  • info-certコマンドによる認証モジュールのパフォーマンス情報取得について

1.フォワーダのパフォーマンス情報取得

フォワーダのパフォーマンスを確認するにはフォワーダアクセスログ(/opt/icewall-sso/logs/dfw.log)を見ます。アクセスログは以下のフォーマットで出力されます。

[日時][フォワーダ起動からWebサーバ接続までの時間][Webサーバ接続開始からコンテンツ受信完了までの時間][コンテンツ受信後からブラウザ出力までの時間][ユーザID][リクエストメソッド][リクエストURL][コンテンツサイズ][IPアドレス]

以下にフォワーダアクセスログの出力例を示します。

フォワーダアクセスログの出力例

@はフォワーダ起動からバックエンドサーバ接続までの時間、Aはバックエンドサーバ接続開始からコンテンツ受信完了までの時間、Bコンテンツ受信後からブラウザ出力までの時間を示しています。もし、@、Aの時間が通常時の処理時間よりも大きければ、以下の問題が考えられます。

 (1)フォワーダ―認証サーバ間のネットワーク障害
 (2)フォワーダ―バックエンドサーバ間のネットワーク障害
 (3)バックエンドサーバの遅延
 (4)認証サーバの遅延(データベースも含む)

これらの問題点をより調査するためには、(1)、(2)に関しては、フォワーダから認証サーバ及びバックエンドサーバに対してpingコマンドを実行して調査します。(3)に関しては、バックエンドサーバのログを確認します。(4)に関しましては、次章にて説明します。

2.PERFログによる認証モジュールのパフォーマンス情報取得

認証モジュールのアクセスログ(/opt/icewall-sso/logs/cert.log)は、以下のフォーマットで出力されます。

[日時][ログメッセージ][メッセージID]

認証モジュールのパフォーマンスを見るには、パフォーマンス情報出力設定項目を1に設定(/opt/icewall-sso/certd/config/cert.confのLOGPERFを1に設定)にします。この項目を設定することにより、認証データベースへのアクセス処理時間の所要時間と、認証モジュール内のリクエスト処理時間が以下のフォーマットで出力されます。(※この機能は HP IceWall SSO Version 8.0 R1 Enterprise Edition 及び Version 8.0.1 Standard Edition より提供されています)

[日時][キーワード][スレッドID][スレッド種別][ユーザID][リクエスト処理時間][DB処理時間1][DB処理時間2]……[DB処理時間n]

以下に認証モジュールのアクセスログの出力例を示します。

認証モジュールのアクセスログの出力例

@はリクエスト処理時間(図2では認証サーバがログアウト要求を受け取ってから完了通知を返すまでの時間)、Aは認証データベースの更新処理(Update)の時間、Bは履歴データベース処理(Insert)にかかった時間を示しています。もし、A、Bの時間が通常時の処理時間よりも大きい場合は、以下の問題が考えられます。

 (1)認証サーバ―認証データベース間のネットワーク障害
 (2)認証データベースのパフォーマンス障害

これらの問題がある場合、(1)の場合は、認証サーバから認証データベースへのpingコマンドを実行して調査します。(2)の場合は、認証データベースにてtopおよびsarコマンドを実行して調査します。
A、Bは通常の処理時間で、@の時間が通常の処理時間よりも大きい場合は、以下の問題が考えられます。

 (3)認証サーバのパフォーマンス障害

(3)の場合は、認証サーバにてtopおよびsarコマンドを実行して調査します。

また、PERFログはログイン及びアクセスがあれば必ず出力されます。例えば、2006/11/15 16:30:15時のLOGIN件数を知りたいのであれば、以下のコマンドを実行します。

grep 2006/11/15 cert.log | grep 16:30:15 | grep LOGIN | wc -l

上記のコマンドを利用することで、certdの1秒間のログイン処理件数やアクセス処理件数を知ることが可能です。

上記のコマンド連続して実行し、得られたデータよりグラフを作成した結果の例を挙げます。

certdの1秒間のログイン処理件数とアクセス処理件数

通常時は、certdは秒間4000強のアクセス、300強のログインを処理していますが、赤線の中は明らかにパフォーマンスが落ちているのが分かります。
表からは、赤線の間に何かが起きていることは明らかであるので、この時間帯に絞って調査できます。この場合の調査対象としては、認証データベースのパフォーマンス障害、認証サーバ―認証データベース間のネットワーク障害、認証サーバのCPU使用率高騰が考えられます。
ここまで説明しましたように、認証モジュールのアクセスログにPERFデータを出力しておくことは、パフォーマンス測定及び障害検知に非常に役に立ちます。

3.info-certコマンドによる認証モジュールのパフォーマンスデータ取得

認証モジュールにはinfo-cert(/opt/icewall-sso/certd/bin/info-cert)というパフォーマンス情報を取得するコマンドがあります。info-certによって現在ログインしているユーザ数、スレッドの利用率といったような、certdのパフォーマンス状況を確認することができます。 このコマンドを実行すると、以下のフォーマットで認証モジュールアクセスログに情報が出力されます。

メッセージ 内容
CERTINFO USER: Used[n1] / Max[n2] = n3% n1:現在ログインしているユーザ数
n2:キャッシュサイズ
n3:キャッシュの使用率
CERTINFO REQUEST_QUEUE : Used[n1] / Max[n2] = n3% Over[n4] n1:現在使用中のリクエストキュー数
n2:リクエストキューサイズ
n3:リクエストキューの使用率
n4:リクエストキューのキュー溢れ数
CERTINFO REPRICA_QUEUE : Used[n1] / Max[n2] = n3% Over[n4] n1:現在使用中のレプリケーションキュー数
n2:レプリケーションキューサイズ
n3:レプリケーションキューの使用率
n4:レプリケーションキューのキュー溢れ数
(キュー溢れ数は前回info-cert実行時から今回実行時の間でカウントされます。)
CERTINFO REQUEST_THREAD : Used[n1] / Max[n2] = n3% n1:現在使用中のスレッド数
n2:全体スレッド数
n3:スレッドの使用率
CERTINFO REPRICA_THREAD : Used[n1] / Max[n2] = n3% n1:現在使用中のスレッド数
n2:全体スレッド数
n3:スレッドの使用率
CERTINFO DBCONNECT : Used[n1] / Max[n2] = n3% Over[n4] n1:現在使用中のコネクション数
n2:全体コネクション数
n3:コネクションの使用率
n4:コネクションの空きを待機した数
(前回info-cert実行時から今回実行時の間までの累計数となります。)

このコマンドは、パフォーマンスチューニングに役に立ちます。
例えば、導入したシステムの利用人数を100人程度と見積もり、余裕を持たせるためcert.confファイルをCACHE=130に設定していたとします。このシステムを運用中にinfo-certを実行すると、以下が出力されたとします。

CERTINFO USER:Used[120]/Max[130]=92 % [ACxxxxx-xxxxx]

当初は余裕を30に設定しているつもりが、実際は余裕が10しか無いことが分かります。
この結果によって、CACHEの値を設定し直すかを考慮する事ができます。
この場合、以下の項目の設定値を考慮し直すかを判断します。
[/opt/icewall-sso/certd/conf/cert.conf]

  • CACHE
  • MAXREQTHREAD
  • REQQUESIZE
  • MAXDBCONNECT
  • MAXREPTHREAD
  • REPQUESIZE


現在、HP IceWall SSOでは、この技術レポートで説明してきた項目を自動化するパフォーマンス測定ツールを開発中であり、次回の技術レポートでは、HP IceWall SSOに搭載予定の新しいパフォーマンス測定ツールについてご紹介いたします。
2006.11.30 日本ヒューレット・パッカード コンサルティング・インテグレーション統括本部 テクニカルコンサルタント 大原 有祐
●関連技術レポート
≫ パフォーマンス特集(1) SSO製品のスケーラビリティの考え方とHP IceWall SSOのアーキテクチャ
≫ パフォーマンス特集(2) IceWall+ロードバランサが実現するパフォーマンス
≫ パフォーマンス特集(3) HP IceWall SSOのパフォーマンス調査方法(本トピックス)
≫ パフォーマンス特集(4) 新しいパフォーマンスモニタリングツール(iwpm)のご紹介
≫ パフォーマンス特集(5) HP-UX 11i v3におけるHP IceWall SSOのパフォーマンス
≫ 技術レポート一覧へ戻る
このページのトップへ
印刷用画面へ印刷用画面へ
プライバシー ご利用条件・免責事項