Monday, September 27, 2010

Grid Computing aplicado à Computação Forense II

No último post sobre AccessData, falamos sobre processamento distribuído e da implementação da AccessData deste recurso no Forensic Toolkit (FTK), a partir da versão 3.


site da AccessData sobre o processamento distribuído traz alguns gráficos sobre os ganhos obtidos em computação paralela. Resolvi realizar meus próprios testes para medir os ganhos: Utilizando o FTK já existente em meu notebook (Dell Latitude E6410, Core i5, Windows 7 64-bit e 8 GB RAM) como examinador e mais três desktops Dell (Dell Vostro, Core i3, Windows XP 64-bit e 4GB RAM) para o processamento distribuído. Para este teste, processei e indexei uma imagem formato E01 de 17GB de dados.

Máquina examinadora os componentes de processamento distribuído


Estes testes realizados em nosso laboratório refletem o ambiente utilizado pela AccessData para geração dos resultados mostrados a seguir. Todos os computadores utilizados, tanto no examinador quanto no processamento distribuído são na mesma configuração: Windows 7 64-bit, 8GB RAM, AMD Phenom™ II X4 955 Processor 3.20 GHz (quad core). Nestas máquinas foram processadas quatro imagens de tamanhos e quantidades de itens distintos, conforme tabela:


Pelo resultado informado, percebe-se um ganho monstro no processamento das imagens quando se utiliza recurso de processamento distribuído, o que nos instiga mais ainda a testá-lo. O procedimento de configuração é extremamente simples: instala-se um agente nas máquinas que farão o processamento remoto, depois informa ao FTK o endereço IP (ou nome DNS) dos nós remotos. Não tem como ser mais simples...

Voltando ao meu teste, um arquivo de evidência de 17GB (E01) processado em "single node" demorou 2 horas para ser processado e indexado, enquanto utilizando o poder da computação distribuída, o tempo foi de 40 minutos. Estatisticamente, meus testes levaram um tempo maior para ser concluído do que os testes da AccessData, mas isso se deve ao fato de estar utilizando uma rede Gigabit, e não 10 Giga, conforme recomendado. Pude perceber que as máquinas clientes, utilizadas para processamento distribuído, levaram mais tempo para "baixar" a porção de dados a ser processada do que processando a evidencia propriamente dita. Estou providenciando um teste em rede 10 Giga para podermos avaliar realmente a performance das máquinas, mas pelo que eu ví nos testes, a performance é surpreendente. Acredito que os ganhos informados pela AccessData são reais. Voltaremos a falar sobre o processamento distribuído em próximas oportunidades!!


2 comments:

Sandro Süffert said...

Excelente abordagem e material Luiz, parabéns!

Luiz Rabelo said...

Obrigado, Sandro!!

Post a Comment