Fejlfinding af ATA ved hjælp af ydelsestællere
Gælder for: Advanced Threat Analytics version 1.9
ATA-ydelsestællerne giver indsigt i, hvor godt hver komponent i ATA præsterer. Komponenterne i ATA behandler data sekventielt, så når der er et problem, kan det medføre delvis mistet trafik et eller andet sted langs komponentkæden. For at løse problemet skal du finde ud af, hvilken komponent der har tilbageførslen, og løse problemet i starten af kæden. Brug de data, der findes i ydelsestællerne, til at forstå, hvordan hver komponent fungerer. Se ATA-arkitekturen for at forstå flowet af interne ATA-komponenter.
ATA-komponentproces:
Når en komponent når sin maksimale størrelse, blokerer den den forrige komponent fra at sende flere enheder til den.
Derefter begynder den forrige komponent til sidst at øge sin egen størrelse, indtil den blokerer komponenten før den, fra at sende flere enheder.
Dette sker helt tilbage til NetworkListener-komponenten, som vil slippe trafik, når enhederne ikke længere kan videresendes.
Hentning af filer til ydelsesmåler til fejlfinding
Sådan henter du BLG-filer (Performance Monitor Files) fra de forskellige ATA-komponenter:
- Åben perfmon.
- Stop dataindsamlersættet med navnet: Microsoft ATA Gateway eller Microsoft ATA Center.
- Gå til mappen med dataindsamlersæt (som standard er det "C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" eller "C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Kopiér den BLG-fil, der senest er ændret.
- Genstart dataindsamlersættet med navnet: Microsoft ATA Gateway eller Microsoft ATA Center.
Ydelsestællere for ATA Gateway
I dette afsnit henviser hver reference til ATA Gateway også til ATA Lightweight Gateway.
Du kan se status for ydeevnen i realtid for ATA Gateway ved at tilføje ATA Gateways ydelsestællere. Dette gøres ved at åbne Ydelsesmåler og tilføje alle tællere for ATA Gateway. Navnet på ydelsestællerobjektet er: Microsoft ATA Gateway.
Her er listen over de vigtigste ATA Gateway-tællere, du skal være opmærksom på:
| Skranke | Beskrivelse | Tærskel | Fejlfinding |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF Parsed Messages\Sec | Den mængde trafik, der behandles af ATA Gateway hvert sekund. | Ingen grænse | Hjælper dig med at forstå mængden af trafik, der fortolkes af ATA Gateway. |
| NetworkListener PEF-mistede hændelser\sek. | Mængden af trafik, der droppes af ATA Gateway hvert sekund. | Dette tal skal være nul hele tiden (sjældne korte dråber er acceptable). | Kontrollér, om der er en komponent, der har nået sin maksimale størrelse og blokerer tidligere komponenter helt til NetworkListener. Se ATA-komponentprocessen ovenfor. Kontrollér, at der ikke er noget problem med CPU'en eller hukommelsen. |
| Microsoft ATA Gateway\NetworkListener ETW Dropped Events\Sec | Mængden af trafik, der droppes af ATA Gateway hvert sekund. | Dette tal skal være nul hele tiden (sjældne korte dråber er acceptable). | Kontrollér, om der er en komponent, der har nået sin maksimale størrelse og blokerer tidligere komponenter helt til NetworkListener. Se ATA-komponentprocessen ovenfor. Kontrollér, at der ikke er noget problem med CPU'en eller hukommelsen. |
| Microsoft ATA Gateway\NetworkActivityTranslator Meddelelsesdata # Blokstørrelse | Den mængde trafik, der er sat i kø til oversættelse til netværksaktiviteter. | Skal være mindre end maksimum-1 (standard maksimum: 100.000) | Kontrollér, om der er en komponent, der har nået sin maksimale størrelse og blokerer tidligere komponenter helt til NetworkListener. Se ATA-komponentprocessen ovenfor. Kontrollér, at der ikke er noget problem med CPU'en eller hukommelsen. |
| Størrelse på Microsoft ATA Gateway\EntityResolver-aktivitetsblok | Antallet af netværksaktiviteter (NLA'er), der er sat i kø til løsning. | Skal være mindre end maksimum-1 (standardmaks.: 10.000) | Kontrollér, om der er en komponent, der har nået sin maksimale størrelse og blokerer tidligere komponenter helt til NetworkListener. Se ATA-komponentprocessen ovenfor. Kontrollér, at der ikke er noget problem med CPU'en eller hukommelsen. |
| Microsoft ATA Gateway\EntitySender Entity Batch Block Size | Mængden af netværksaktiviteter (NLA'er), der er sat i kø for at blive sendt til ATA Center. | Skal være mindre end maksimum-1 (standard maksimum: 1.000.000) | Kontrollér, om der er en komponent, der har nået sin maksimale størrelse og blokerer tidligere komponenter helt til NetworkListener. Se ATA-komponentprocessen ovenfor. Kontrollér, at der ikke er noget problem med CPU'en eller hukommelsen. |
| Microsoft ATA Gateway\EntitySender Batch Send Time | Den tid, det tog at sende det sidste bundt. | Skal være mindre end 1000 millisekunder det meste af tiden | Kontrollér, om der er netværksproblemer mellem ATA Gateway og ATA Center. |
Bemærk!
- Tidsindlagte tællere er i millisekunder.
- Det er nogle gange mere praktisk at overvåge den komplette liste over tællerne ved hjælp af graftypen Rapport (f.eks. overvågning af alle tællere i realtid)
Ydelsestællere for letvægtsgateway i ATA
Ydelsestællerne kan bruges til kvotestyring i letvægtsgatewayen for at sikre, at ATA ikke dræner for mange ressourcer fra de domænecontrollere, hvor den er installeret. Hvis du vil måle de ressourcebegrænsninger, som ATA gennemtvinger på letvægtsgatewayen, skal du tilføje disse tællere.
Det gør du ved at åbne Ydelsesmåler og tilføje alle tællere for ATA Lightweight Gateway. Navnene på ydelsestællerobjekterne er: Microsoft ATA Gateway og Microsoft ATA Gateway Updater.
| Skranke | Beskrivelse | Tærskel | Fejlfinding |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Maksimal CPU-tid i % | Den maksimale mængde CPU-tid (i procent), som letvægtsgatewayprocessen kan forbruge. | Ingen grænse. | Dette er den begrænsning, der beskytter domænecontrollerressourcerne mod at blive brugt op af ATA Lightweight Gateway. Hvis du kan se, at processen ofte når maksimumgrænsen over en tidsperiode (processen når grænsen og derefter begynder at slippe trafik), betyder det, at du skal føje flere ressourcer til den server, der kører domænecontrolleren. |
| Maksimal størrelse på Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Commit Memory | Den maksimale mængde allokeret hukommelse (i byte), som letvægtsgatewayprocessen kan forbruge. | Ingen grænse. | Dette er den begrænsning, der beskytter domænecontrollerressourcerne mod at blive brugt op af ATA Lightweight Gateway. Hvis du kan se, at processen ofte når maksimumgrænsen over en tidsperiode (processen når grænsen og derefter begynder at slippe trafik), betyder det, at du skal føje flere ressourcer til den server, der kører domænecontrolleren. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Grænsestørrelse for arbejdssæt | Den maksimale mængde fysisk hukommelse (i byte), som letvægtsgatewayprocessen kan forbruge. | Ingen grænse. | Dette er den begrænsning, der beskytter domænecontrollerressourcerne mod at blive brugt op af ATA Lightweight Gateway. Hvis du kan se, at processen ofte når maksimumgrænsen over en tidsperiode (processen når grænsen og derefter begynder at slippe trafik), betyder det, at du skal føje flere ressourcer til den server, der kører domænecontrolleren. |
Hvis du vil se dit faktiske forbrug, skal du se følgende tællere:
| Skranke | Beskrivelse | Tærskel | Fejlfinding |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Processortid | Den mængde CPU-tid (i procent), som letvægtsgatewayprocessen faktisk bruger. | Ingen grænse. | Sammenlign resultaterne af denne tæller med den grænse, der blev fundet i GatewayUpdaterResourceManager CPU Time Max %. Hvis du kan se, at processen ofte når maksimumgrænsen over en tidsperiode (processen når grænsen og derefter begynder at slippe trafik), betyder det, at du skal dedikere flere ressourcer til letvægtsgatewayen. |
| Process(Microsoft.Tri.Gateway)\Private Byte | Mængden af bekræftet hukommelse (i byte), som letvægtsgatewayprocessen faktisk bruger. | Ingen grænse. | Sammenlign resultaterne af denne tæller med den grænse, der blev fundet i GatewayUpdaterResourceManager Commit Memory Max Size. Hvis du kan se, at processen ofte når maksimumgrænsen over en tidsperiode (processen når grænsen og derefter begynder at slippe trafik), betyder det, at du skal dedikere flere ressourcer til letvægtsgatewayen. |
| Process(Microsoft.Tri.Gateway)\Arbejdssæt | Mængden af fysisk hukommelse (i byte), som letvægtsgatewayprocessen faktisk forbruger. | Ingen grænse. | Sammenlign resultaterne af denne tæller med den grænse, der blev fundet i GatewayUpdaterResourceManager Grænsestørrelse for arbejdssæt. Hvis du kan se, at processen ofte når maksimumgrænsen over en tidsperiode (processen når grænsen og derefter begynder at slippe trafik), betyder det, at du skal dedikere flere ressourcer til letvægtsgatewayen. |
Ydelsestællere for ATA Center
Du kan se ATA Center's ydeevnestatus i realtid ved at tilføje ATA Center's ydelsestællere.
Dette gøres ved at åbne Ydelsesmåler og tilføje alle tællere for ATA Center. Navnet på ydelsestællerobjektet er: Microsoft ATA Center.
Her er listen over de vigtigste ATA Center-tællere, du skal være opmærksom på:
| Skranke | Beskrivelse | Tærskel | Fejlfinding |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | Antallet af enhedsbatch, der er sat i kø af ATA Center. | Skal være mindre end maksimum-1 (standardmaks.: 10.000) | Kontrollér, om der er en komponent, der har nået sin maksimale størrelse og blokerer tidligere komponenter helt til NetworkListener. Se den foregående ATA-komponentproces. Kontrollér, at der ikke er noget problem med CPU'en eller hukommelsen. |
| Microsoft ATA Center\NetworkActivityProcessor Netværksaktivitetsblokstørrelse | Antallet af netværksaktiviteter (NLA'er), der er sat i kø til behandling. | Skal være mindre end maksimum-1 (standard maksimum: 50.000) | Kontrollér, om der er en komponent, der har nået sin maksimale størrelse og blokerer tidligere komponenter helt til NetworkListener. Se den foregående ATA-komponentproces. Kontrollér, at der ikke er noget problem med CPU'en eller hukommelsen. |
| Microsoft ATA Center\EntityProfiler Netværksaktivitetsblokstørrelse | Antallet af netværksaktiviteter (NLA'er), der er sat i kø til profilering. | Skal være mindre end maksimum-1 (standard maksimum: 100.000) | Kontrollér, om der er en komponent, der har nået sin maksimale størrelse og blokerer tidligere komponenter helt til NetworkListener. Se den foregående ATA-komponentproces. Kontrollér, at der ikke er noget problem med CPU'en eller hukommelsen. |
| Microsoft ATA Center\Database * Blokstørrelse | Antallet af netværksaktiviteter af en bestemt type, der er sat i kø for at blive skrevet til databasen. | Skal være mindre end maksimum-1 (standard maksimum: 50.000) | Kontrollér, om der er en komponent, der har nået sin maksimale størrelse og blokerer tidligere komponenter helt til NetworkListener. Se den foregående ATA-komponentproces. Kontrollér, at der ikke er noget problem med CPU'en eller hukommelsen. |
Bemærk!
- Tidsindlagte tællere er i millisekunder
- Det er nogle gange mere praktisk at overvåge den komplette liste over tællere ved hjælp af graftypen for Rapport (f.eks. overvågning af alle tællere i realtid).
Operativsystemtællere
I følgende tabel vises de primære operativsystemtællere, du skal være opmærksom på:
| Skranke | Beskrivelse | Tærskel | Fejlfinding |
|---|---|---|---|
| Processor(_Total)% processortid | Den procentdel af den forløbne tid, som processoren bruger til at udføre en ikke-inaktiv tråd. | Mindre end 80 % i gennemsnit | Kontrollér, om der er en bestemt proces, der tager meget mere processortid, end den burde. Tilføj flere processorer. Reducer mængden af trafik pr. server. Tælleren "Processor(_Total)% Processortid" kan være mindre præcis på virtuelle servere, og i dette tilfælde er den mere nøjagtige måde at måle den manglende processorkraft på via tælleren "System\Processor Queue Length". |
| System\Kontekstparametre\sek. | Den kombinerede hastighed, hvormed alle processorer skiftes fra én tråd til en anden. | Mindre end 5000*kerner (fysiske kerner) | Kontrollér, om der er en bestemt proces, der tager meget mere processortid, end den burde. Tilføj flere processorer. Reducer mængden af trafik pr. server. Tælleren "Processor(_Total)% Processortid" kan være mindre præcis på virtuelle servere, og i dette tilfælde er den mere nøjagtige måde at måle den manglende processorkraft på via tælleren "System\Processor Queue Length". |
| System\Processorkølængde | Antallet af tråde, der er klar til at blive udført og venter på at blive planlagt. | Mindre end fem*kerner (fysiske kerner) | Kontrollér, om der er en bestemt proces, der tager meget mere processortid, end den burde. Tilføj flere processorer. Reducer mængden af trafik pr. server. Tælleren "Processor(_Total)% Processortid" kan være mindre præcis på virtuelle servere, og i dette tilfælde er den mere nøjagtige måde at måle den manglende processorkraft på via tælleren "System\Processor Queue Length". |
| Hukommelse\tilgængelige MBytes | Mængden af fysisk hukommelse (RAM), der kan tildeles. | Skal være mere end 512 | Kontrollér, om der er en bestemt proces, der tager meget mere fysisk hukommelse, end den burde. Forøg mængden af fysisk hukommelse. Reducer mængden af trafik pr. server. |
| LogicalDisk(*)\Avg. Disk sec\Read | Den gennemsnitlige ventetid for læsning af data fra disken (du skal vælge databasedrevet som forekomsten). | Skal være mindre end 10 millisekunder | Kontrollér, om der er en bestemt proces, der udnytter databasedrevet mere, end det burde. Kontakt lagerteamet/forhandleren, hvis dette drev kan levere den aktuelle arbejdsbelastning, samtidig med at der er mindre end 10 ms ventetid. Den aktuelle arbejdsbelastning kan bestemmes ved hjælp af diskudnyttelsestællerne. |
| LogicalDisk(*)\Avg. Disk sec\Write | Den gennemsnitlige ventetid for skrivning af data til disken (du skal vælge databasedrevet som forekomsten). | Skal være mindre end 10 millisekunder | Kontrollér, om der er en bestemt proces, der udnytter databasedrevet mere, end det burde. Kontakt lagerteamet\forhandleren, hvis dette drev kan levere den aktuelle arbejdsbelastning, samtidig med at der er mindre end 10 ms ventetid. Den aktuelle arbejdsbelastning kan bestemmes ved hjælp af diskudnyttelsestællerne. |
| \LogicalDisk(*)\Disk Reads\sec | Hyppighed for udførelse af læsehandlinger på disken. | Ingen grænse | Diskudnyttelsestællere kan tilføje indsigt, når du foretager fejlfinding af lagerventetid. |
| \LogicalDisk(*)\Disk Read Bytes\sec | Det antal byte pr. sekund, der læses fra disken. | Ingen grænse | Diskudnyttelsestællere kan tilføje indsigt, når du foretager fejlfinding af lagerventetid. |
| \LogicalDisk*\Disk Writes\sec | Hyppighed for udførelse af skrivehandlinger på disken. | Ingen grænse | Tællere for diskudnyttelse (kan tilføje indsigt, når du foretager fejlfinding af lagerventetiden) |
| \LogicalDisk(*)\Disk Write Bytes\sec | Det antal byte pr. sekund, der skrives til disken. | Ingen grænse | Diskudnyttelsestællere kan tilføje indsigt, når du foretager fejlfinding af lagerventetid. |