HP IceWall SSO

本トピックでは、HP IceWall SSOのパフォーマンスに関する調査の際に役立つ技術情報をご紹介していきます。以下の項目を順を追って解説していきます。

• およびパフォーマンスが落ちている場合の調査箇所について
• フォワーダのパフォーマンス情報取得
• PERFログによる認証モジュールのパフォーマンス情報取得
• info-certコマンドによる認証モジュールのパフォーマンス情報取得について

[日時][フォワーダ起動からWebサーバ接続までの時間][Webサーバ接続開始からコンテンツ受信完了までの時間][コンテンツ受信後からブラウザ出力までの時間][ユーザID][リクエストメソッド][リクエストURL][コンテンツサイズ][IPアドレス]

以下にフォワーダアクセスログの出力例を示します。

これらの問題点をより調査するためには、（１）、（２）に関しては、フォワーダから認証サーバ及びバックエンドサーバに対してpingコマンドを実行して調査します。（３）に関しては、バックエンドサーバのログを確認します。（４）に関しましては、次章にて説明します。

[日時][ログメッセージ][メッセージID]

認証モジュールのパフォーマンスを見るには、パフォーマンス情報出力設定項目を1に設定（/opt/icewall-sso/certd/config/cert.confのLOGPERFを1に設定）にします。この項目を設定することにより、認証データベースへのアクセス処理時間の所要時間と、認証モジュール内のリクエスト処理時間が以下のフォーマットで出力されます。（※この機能は HP IceWall SSO Version 8.0 R1 Enterprise Edition 及び Version 8.0.1 Standard Edition より提供されています）

[日時][キーワード][スレッドID][スレッド種別][ユーザID][リクエスト処理時間][DB処理時間1][DB処理時間2]……[DB処理時間n]

以下に認証モジュールのアクセスログの出力例を示します。

これらの問題がある場合、（１）の場合は、認証サーバから認証データベースへのpingコマンドを実行して調査します。（２）の場合は、認証データベースにてtopおよびsarコマンドを実行して調査します。
�A、�Bは通常の処理時間で、�@の時間が通常の処理時間よりも大きい場合は、以下の問題が考えられます。

　（３）認証サーバのパフォーマンス障害

（３）の場合は、認証サーバにてtopおよびsarコマンドを実行して調査します。

また、PERFログはログイン及びアクセスがあれば必ず出力されます。例えば、2006/11/15 16:30:15時のLOGIN件数を知りたいのであれば、以下のコマンドを実行します。

grep 2006/11/15 cert.log | grep 16:30:15 | grep LOGIN | wc -l

上記のコマンドを利用することで、certdの1秒間のログイン処理件数やアクセス処理件数を知ることが可能です。

上記のコマンド連続して実行し、得られたデータよりグラフを作成した結果の例を挙げます。

認証モジュールにはinfo-cert（/opt/icewall-sso/certd/bin/info-cert）というパフォーマンス情報を取得するコマンドがあります。info-certによって現在ログインしているユーザ数、スレッドの利用率といったような、certdのパフォーマンス状況を確認することができます。 このコマンドを実行すると、以下のフォーマットで認証モジュールアクセスログに情報が出力されます。

このコマンドは、パフォーマンスチューニングに役に立ちます。
例えば、導入したシステムの利用人数を100人程度と見積もり、余裕を持たせるためcert.confファイルをCACHE=130に設定していたとします。このシステムを運用中にinfo-certを実行すると、以下が出力されたとします。

CERTINFO USER:Used[120]/Max[130]=92 % [ACxxxxx-xxxxx]

当初は余裕を30に設定しているつもりが、実際は余裕が10しか無いことが分かります。
この結果によって、CACHEの値を設定し直すかを考慮する事ができます。
この場合、以下の項目の設定値を考慮し直すかを判断します。
[/opt/icewall-sso/certd/conf/cert.conf]

• CACHE
• MAXREQTHREAD
• REQQUESIZE
• MAXDBCONNECT
• MAXREPTHREAD
• REPQUESIZE