Sunday, February 27, 2011

Dicas para ganhar tempo com o FTK

A instalação do FTK é muito simples, ninguém pode negar. São muitos componentes, cada qual com um setup diferente: Oracle, CodeMeter, Processing Engine, FTK e outros, mas ainda assim simples: Next, Next, Finish para uma instalação padrão.




Eu vejo muitas reclamações de performance do FTK que simplesmente não são problemas do FTK: máquinas mal dimensionadas, muitos processos concorrentes, discos lentos... Lembre-se, o FTK é uma solução robusta que merece ser tratado como tal. Pagar caro em uma licença de um FTK e economizar no hardware é algo que não dá para entender.

A questão é que com a instalação padrão, a performance da ferramenta pode não ser a esperada para uma solução deste porte. Neste post, vou passar algumas dicas para otimizar a performance do FTK e ajudar assim quem estiver sofrendo com a lentidão durante a investigação.


A peça fundamental do FTK é o Oracle, e o grande vilão deste componente é o acesso ao disco. O Oracle pode estar instalado corretamente, mas compartilhar o mesmo volume do banco de dados com arquivos de evidências pode ser um grande problema devido à concorrência dos processos no acesso ao disco.


É possível distribuir a instalação do FTK entre duas máquinas, dedicando uma máquina para o Oracle database e outra máquina para a interface gráfica (GUI) do FTK e o Worker (processing engine).

Uma configuração IDEAL para execução do FTK/Oracle na mesma máquina é:

  • Processador Intel Dual Quad Core XEON, 
  • Sistema Operacional 64bit, 
  • 16GB de memória RAM, 
  • discos de 15.000RPM com pelo menos 2TB de espaço,
  • RAID1 para o SO 
  • RAID0 (de pelo menos 4 discos) para Dados: Oracle, Caso, Evidência.


Instalação do Oracle


  • Após instalação padrão do Oracle, executar o script "Optimize Database" (fornecido com a mídia de instalação do banco de dados). Maiores informações sobre este script aqui.
  • Na documentação online do Oracle, há uma seção dedicada a otimização do sistema de banco de dados instalado no Windows.
  • Para um melhor desempenho, opte sempre por um disco (ou um array de discos) de alta performance, como discos de 10.000RPM pelo menos.
  • O banco de dados Oracle e os arquivos de índice devem possuir um RAID próprio, separado do sistema operacional. A configuração ideal é um RAID0 com pelo menos 4 discos de 15.000RPM.
  • Um disco de 10.000RPM apresenta um desempenho ligeiramente melhor do que dois discos de 7.200RPM em RAID0. Um disco de 15.000RPM garante um desempenho praticamente identico a um RAID0 com dois ou três discos de 7.200RPM. Claro, com RAID0 não há tolerância a falhas, sugiro uma solução de backup do Oracle para resolver esta questão.
Outras dicas
  • Se o Sistema Operacional estiver sendo executado em um disco de 7200RPM, reduza o tamanho do pagefile deste disco e crie um pagefile no disco em RAID.
  • Dúvida comum: Corrupção de dados em RAID: Corrupção de dados em RAID podem ocorrer com uma frequência um pouco superior quando comparado com discos stand alone, mas isso pode ser resolvido utilizando uma boa placa controladora de RAID: pelo menos 256MB de cache e que seja equipada com uma bateria de backup. Pela minha própria experiência de infraestrutura, sugiro uma controladora da ADAPTEC, que são utilizadas em servidores de missão crítica. Claro que há modelos mais acessíveis ($$$).



  • Se for instalar um anti vírus na máquina, é extremamente recomendado que os diretórios do banco de dados Oracle, diretório TEMP do FTK e diretório de evidências sejam excluídos da verificação do sistema de anti vírus.
  • Ao trabalhar um caso com múltiplas imagens (sejam elas E01, DD ou AFF...), o índice ficará maior e o acesso aos dados pode ser prejudicado. Prefira dividir as imagens em casos menores, trabalhando assim com uma massa de dados reduzida e agilizando algumas tarefas como indexação e busca.
  • Desabilite a indexação do sistema operacional (habilitada por default) e não utilize compressão do NTFS para os diretórios do banco de dados Oracle, TEMP do FTK, diretório de evidências e diretórios de instalação dos aplicativos. Lembre-se: compactação de dados pode onerar o processamento da máquina.
  • Mais dicas de otimização do Windows no site da Microsoft.



Memória RAM


Uma dúvida muito comum é com relação a quantidade de memória RAM para uma máquina destas. Há uma conta simples para cálculo de memória RAM: Para melhor desempenho, recomendo utilizar um mínimo de 2GB para cada núcleo de processador:

  • Core2Duo (2 núcleos) - 4GB RAM (mínimo); 
  • Core i5 (4 núcleos) - 8GB RAM (mínimo).



Opções de processamento


Se ainda assim você achar que o desempenho da máquina não ficou satisfatório, ou não for possível configurar uma máquina com o perfil de hardware que traçamos aqui, você ainda pode desabilitar algumas opções de processamento das evidências do caso. O gráfico abaixo mostra a diferença de tempo de processamento de evidências





Fontes:

Os dados aqui apresentados são uma síntese das informações destes documentos oficiais da AccessData. Recomendo muito a leitura destes documentos para quem quiser dimensionar uma máquina perfeita para o FTK:

No comments:

Post a Comment