Freigeben über


Problembehandlung bei ATA mithilfe der Leistungsindikatoren

Gilt für: Advanced Threat Analytics Version 1.9

Die ATA-Leistungsindikatoren bieten Einen Einblick in die Leistung der einzelnen ATA-Komponenten. Die Komponenten in ATA verarbeiten Daten sequenziell, sodass es bei einem Problem möglicherweise zu teilweise verworfenem Datenverkehr entlang der Komponentenkette kommt. Um das Problem zu beheben, müssen Sie herausfinden, welche Komponente rückversichert wird, und das Problem am Anfang der Kette beheben. Verwenden Sie die Daten in den Leistungsindikatoren, um zu verstehen, wie die einzelnen Komponenten funktionieren. Informationen zum Ablauf interner ATA-Komponenten finden Sie unter ATA-Architektur .

ATA-Komponentenprozess:

  1. Wenn eine Komponente ihre maximale Größe erreicht, wird verhindert, dass die vorherige Komponente weitere Entitäten an sie sendet.

  2. Dann beginnt die vorherige Komponente schließlich, ihre eigene Größe zu erhöhen, bis sie die komponente vor ihr blockiert, um weitere Entitäten zu senden.

  3. Dies geschieht bis zurück zur NetworkListener-Komponente, die datenverkehrslos wird, wenn entitäten nicht mehr weitergeleitet werden können.

Abrufen von Leistungsüberwachungsdateien zur Problembehandlung

So rufen Sie die Leistungsmonitordateien (BLG) aus den verschiedenen ATA-Komponenten ab:

  1. Öffnen Sie perfmon.
  2. Beenden Sie den Datensammlersatz mit dem Namen Microsoft ATA Gateway oder Microsoft ATA Center.
  3. Wechseln Sie zum Datensammlersatzordner (standardmäßig ist dies "C:\Programme\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" oder "C:\Programme\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
  4. Kopieren Sie die zuletzt geänderte BLG-Datei.
  5. Starten Sie den Datensammlersatz mit dem Namen Microsoft ATA Gateway oder Microsoft ATA Center neu.

ATA-Gateway-Leistungsindikatoren

In diesem Abschnitt bezieht sich jeder Verweis auf ATA-Gateway auch auf das ATA-Lightweight-Gateway.

Sie können die Echtzeitleistung status des ATA-Gateways beobachten, indem Sie die Leistungsindikatoren des ATA-Gateways hinzufügen. Dies erfolgt durch Öffnen Leistungsmonitor und Hinzufügen aller Leistungsindikatoren für das ATA-Gateway. Der Name des Leistungsindikatorobjekts lautet: Microsoft ATA-Gateway.

Dies ist die Liste der Standard ATA-Gatewayzähler, auf die Sie achten müssen:

Leistungsindikator Beschreibung Schwellenwert Problembehandlung
Microsoft ATA Gateway\NetworkListener PEF Parsed Messages\Sec Die Menge des Datenverkehrs, der jede Sekunde vom ATA-Gateway verarbeitet wird. Kein Schwellenwert Hilft Ihnen, die Menge des Datenverkehrs zu verstehen, der vom ATA-Gateway analysiert wird.
NetworkListener PEF Dropped Events\Sec Die Menge des Datenverkehrs, der jede Sekunde vom ATA-Gateway gelöscht wird. Diese Zahl sollte die ganze Zeit null sein (seltene kurze Bursts von Tropfen sind akzeptabel). Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie oben im ATA-Komponentenprozess .

Überprüfen Sie, ob kein Problem mit der CPU oder dem Arbeitsspeicher vorliegt.
Microsoft ATA Gateway\NetworkListener ETW Dropped Events\Sec Die Menge des Datenverkehrs, der jede Sekunde vom ATA-Gateway gelöscht wird. Diese Zahl sollte die ganze Zeit null sein (seltene kurze Bursts von Tropfen sind akzeptabel). Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie oben im ATA-Komponentenprozess .

Überprüfen Sie, ob kein Problem mit der CPU oder dem Arbeitsspeicher vorliegt.
Microsoft ATA Gateway\NetworkActivityTranslator Message Data # Block Size Die Menge des Datenverkehrs, der für die Übersetzung in Netzwerkaktivitäten (Network Activities, NAs) in die Warteschlange eingereiht wird. Sollte kleiner als maximal 1 sein (Standardmaximum: 100.000) Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie oben im ATA-Komponentenprozess .

Überprüfen Sie, ob kein Problem mit der CPU oder dem Arbeitsspeicher vorliegt.
Microsoft ATA Gateway\EntityResolver-Aktivitätsblockgröße Die Anzahl der Netzwerkaktivitäten (Network Activities, NAs), die für die Auflösung in die Warteschlange eingereiht wurden. Sollte kleiner als maximal 1 sein (Standardmaximum: 10.000) Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie oben im ATA-Komponentenprozess .

Überprüfen Sie, ob kein Problem mit der CPU oder dem Arbeitsspeicher vorliegt.
Microsoft ATA Gateway\EntitySender Entity Batch Block Size Die Menge der Netzwerkaktivitäten (Network Activities, NAs), die in die Warteschlange eingereiht werden sollen, die an ATA Center gesendet werden sollen. Sollte kleiner als maximal 1 sein (Standardmaximum: 1.000.000) Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie oben im ATA-Komponentenprozess .

Überprüfen Sie, ob kein Problem mit der CPU oder dem Arbeitsspeicher vorliegt.
Microsoft ATA Gateway\EntitySender Batch Send Time Die Zeit, die zum Senden des letzten Batches benötigt wurde. Sollte die meiste Zeit weniger als 1000 Millisekunden betragen Überprüfen Sie, ob Netzwerkprobleme zwischen dem ATA-Gateway und dem ATA Center vorliegen.

Hinweis

  • Zeitindikatoren liegen in Millisekunden vor.
  • Es ist manchmal bequemer, die vollständige Liste der Indikatoren mithilfe des Berichtsdiagrammtyps zu überwachen (Beispiel: Echtzeitüberwachung aller Leistungsindikatoren).

ATA Lightweight Gateway-Leistungsindikatoren

Die Leistungsindikatoren können für die Kontingentverwaltung im Lightweight-Gateway verwendet werden, um sicherzustellen, dass ATA nicht zu viele Ressourcen von den Domänencontrollern abfließt, auf denen es installiert ist. Fügen Sie diese Leistungsindikatoren hinzu, um die Ressourceneinschränkungen zu messen, die ATA für das Lightweight-Gateway erzwingt.

Dies erfolgt durch Öffnen Leistungsmonitor und Hinzufügen aller Leistungsindikatoren für das ATA-Lightweightgateway. Die Namen der Leistungsindikatorobjekte sind: Microsoft ATA Gateway und Microsoft ATA Gateway Updater.

Leistungsindikator Beschreibung Schwellenwert Problembehandlung
Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU Time Max % Die maximale CPU-Zeit (in Prozent), die der Lightweight Gateway-Prozess verbrauchen kann. Kein Schwellenwert. Dies ist die Einschränkung, die die Domänencontrollerressourcen vor der Nutzung durch das ATA-Lightweightgateway schützt. Wenn Sie feststellen, dass der Prozess den maximalen Grenzwert häufig über einen bestimmten Zeitraum erreicht (der Prozess erreicht den Grenzwert und beginnt dann mit dem Löschen des Datenverkehrs), bedeutet dies, dass Sie dem Server, auf dem der Domänencontroller ausgeführt wird, weitere Ressourcen hinzufügen müssen.
Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Maximale Größe des Commitspeichers Die maximale Menge des zugesicherten Arbeitsspeichers (in Bytes), den der Lightweight Gateway-Prozess verbrauchen kann. Kein Schwellenwert. Dies ist die Einschränkung, die die Domänencontrollerressourcen vor der Nutzung durch das ATA-Lightweightgateway schützt. Wenn Sie feststellen, dass der Prozess den maximalen Grenzwert häufig über einen bestimmten Zeitraum erreicht (der Prozess erreicht den Grenzwert und beginnt dann mit dem Löschen des Datenverkehrs), bedeutet dies, dass Sie dem Server, auf dem der Domänencontroller ausgeführt wird, weitere Ressourcen hinzufügen müssen.
Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Working Set Limit Size Die maximale Menge an physischem Arbeitsspeicher (in Bytes), die der Lightweight Gateway-Prozess verbrauchen kann. Kein Schwellenwert. Dies ist die Einschränkung, die die Domänencontrollerressourcen vor der Nutzung durch das ATA-Lightweightgateway schützt. Wenn Sie feststellen, dass der Prozess den maximalen Grenzwert häufig über einen bestimmten Zeitraum erreicht (der Prozess erreicht den Grenzwert und beginnt dann mit dem Löschen des Datenverkehrs), bedeutet dies, dass Sie dem Server, auf dem der Domänencontroller ausgeführt wird, weitere Ressourcen hinzufügen müssen.

Informationen zum tatsächlichen Verbrauch finden Sie in den folgenden Leistungsindikatoren:

Leistungsindikator Beschreibung Schwellenwert Problembehandlung
Process(Microsoft.Tri.Gateway)%Processor Time Die CPU-Zeit (in Prozent), die der Lightweight Gateway-Prozess tatsächlich in Anspruch nimmt. Kein Schwellenwert. Vergleichen Sie die Ergebnisse dieses Indikators mit dem Grenzwert unter GatewayUpdaterResourceManager CPU Time Max %. Wenn Sie feststellen, dass der Prozess den maximalen Grenzwert häufig über einen bestimmten Zeitraum erreicht (der Prozess erreicht den Grenzwert und beginnt dann mit dem Löschen des Datenverkehrs), bedeutet dies, dass Sie mehr Ressourcen für das Lightweight-Gateway bereitstellen müssen.
Process(Microsoft.Tri.Gateway)\Private Bytes Die Menge des zugesicherten Arbeitsspeichers (in Bytes), den der Lightweight Gateway-Prozess tatsächlich verbraucht. Kein Schwellenwert. Vergleichen Sie die Ergebnisse dieses Leistungsindikators mit dem Grenzwert unter Maximale Größe des Commitspeichers für GatewayUpdaterResourceManager. Wenn Sie feststellen, dass der Prozess den maximalen Grenzwert häufig über einen bestimmten Zeitraum erreicht (der Prozess erreicht den Grenzwert und beginnt dann mit dem Löschen des Datenverkehrs), bedeutet dies, dass Sie mehr Ressourcen für das Lightweight-Gateway bereitstellen müssen.
Process(Microsoft.Tri.Gateway)\Working Set Die Menge des physischen Arbeitsspeichers (in Bytes), den der Lightweight Gateway-Prozess tatsächlich verbraucht. Kein Schwellenwert. Vergleichen Sie die Ergebnisse dieses Leistungsindikators mit dem Grenzwert in GatewayUpdaterResourceManager Working Set Limit Size. Wenn Sie feststellen, dass der Prozess den maximalen Grenzwert häufig über einen bestimmten Zeitraum erreicht (der Prozess erreicht den Grenzwert und beginnt dann mit dem Löschen des Datenverkehrs), bedeutet dies, dass Sie mehr Ressourcen für das Lightweight-Gateway bereitstellen müssen.

ATA Center-Leistungsindikatoren

Sie können die Echtzeitleistung status von ATA Center beobachten, indem Sie die Leistungsindikatoren von ATA Center hinzufügen.

Dies erfolgt durch Öffnen Leistungsmonitor und Hinzufügen aller Leistungsindikatoren für ATA Center. Der Name des Leistungsindikatorobjekts lautet: Microsoft ATA Center.

Hier ist die Liste der Standard ATA Center-Indikatoren, auf die Sie achten müssen:

Leistungsindikator Beschreibung Schwellenwert Problembehandlung
Microsoft ATA Center\EntityReceiver Entity Batch Block Size Die Anzahl der Entitätsbatches, die von ATA Center in die Warteschlange gestellt werden. Sollte kleiner als maximal 1 sein (Standardmaximum: 10.000) Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie im vorherigen ATA-Komponentenprozess.

Überprüfen Sie, ob kein Problem mit der CPU oder dem Arbeitsspeicher vorliegt.
Microsoft ATA Center\NetworkActivityProcessor Network Activity Block Size Die Anzahl der Netzwerkaktivitäten (Network Activities, NAs), die für die Verarbeitung in die Warteschlange eingereiht wurden. Sollte kleiner als maximal 1 sein (Standardmaximum: 50.000) Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie im vorherigen ATA-Komponentenprozess.

Überprüfen Sie, ob kein Problem mit der CPU oder dem Arbeitsspeicher vorliegt.
Microsoft ATA Center\EntityProfiler Network Activity Block Size Die Anzahl der Netzwerkaktivitäten (NAs), die für die Profilerstellung in die Warteschlange gestellt werden. Sollte kleiner als maximal 1 sein (Standardmaximum: 100.000) Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie im vorherigen ATA-Komponentenprozess.

Überprüfen Sie, ob kein Problem mit der CPU oder dem Arbeitsspeicher vorliegt.
Microsoft ATA Center\Database * Blockgröße Die Anzahl der Netzwerkaktivitäten eines bestimmten Typs, die in die Datenbank geschrieben werden sollen. Sollte kleiner als maximal 1 sein (Standardmaximum: 50.000) Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie im vorherigen ATA-Komponentenprozess.

Überprüfen Sie, ob kein Problem mit der CPU oder dem Arbeitsspeicher vorliegt.

Hinweis

  • Zeitindikatoren liegen in Millisekunden vor.
  • Manchmal ist es praktischer, die vollständige Liste der Indikatoren mithilfe des Graphtyps für Report zu überwachen (Beispiel: Echtzeitüberwachung aller Leistungsindikatoren).

Betriebssystemindikatoren

In der folgenden Tabelle sind die Standard Betriebssystemzähler aufgeführt, auf die Sie achten müssen:

Leistungsindikator Beschreibung Schwellenwert Problembehandlung
Prozessor(_Total)% Prozessorzeit Der Prozentsatz der verstrichenen Zeit, die der Prozessor für die Ausführung eines Threads ohne Leerlauf aufwendet. Weniger als 80 % im Durchschnitt Überprüfen Sie, ob es einen bestimmten Prozess gibt, der viel mehr Prozessorzeit in Anspruch nimmt, als er sollte.

Fügen Sie weitere Prozessoren hinzu.

Reduzieren Sie die Menge des Datenverkehrs pro Server.

Der Zähler "Prozessor(_Total)% Prozessorzeit" ist auf virtuellen Servern möglicherweise weniger genau. In diesem Fall ist die genauere Methode, um den Mangel an Prozessorleistung zu messen, der Zähler "System\Prozessorwarteschlangenlänge".
System\Kontextwechsel\Sekunde Die kombinierte Rate, mit der alle Prozessoren von einem Thread auf einen anderen umgestellt werden. Weniger als 5000* Kerne (physische Kerne) Überprüfen Sie, ob es einen bestimmten Prozess gibt, der viel mehr Prozessorzeit in Anspruch nimmt, als er sollte.

Fügen Sie weitere Prozessoren hinzu.

Reduzieren Sie die Menge des Datenverkehrs pro Server.

Der Zähler "Prozessor(_Total)% Prozessorzeit" ist auf virtuellen Servern möglicherweise weniger genau. In diesem Fall ist die genauere Methode, um den Mangel an Prozessorleistung zu messen, der Zähler "System\Prozessorwarteschlangenlänge".
Systemprozessor-Warteschlangenlänge Die Anzahl der Threads, die ausgeführt werden können und darauf warten, geplant zu werden. Weniger als fünf* Kerne (physische Kerne) Überprüfen Sie, ob es einen bestimmten Prozess gibt, der viel mehr Prozessorzeit in Anspruch nimmt, als er sollte.

Fügen Sie weitere Prozessoren hinzu.

Reduzieren Sie die Menge des Datenverkehrs pro Server.

Der Zähler "Prozessor(_Total)% Prozessorzeit" ist auf virtuellen Servern möglicherweise weniger genau. In diesem Fall ist die genauere Methode, um den Mangel an Prozessorleistung zu messen, der Zähler "System\Prozessorwarteschlangenlänge".
Arbeitsspeicher\Verfügbare MB Die Menge des für die Zuordnung verfügbaren physischen Arbeitsspeichers (RAM). Sollte mehr als 512 sein Überprüfen Sie, ob es einen bestimmten Prozess gibt, der viel mehr physischen Arbeitsspeicher benötigt, als er sollte.

Erhöhen Sie die Menge des physischen Speichers.

Reduzieren Sie die Menge des Datenverkehrs pro Server.
LogicalDisk(*)\Durchschn. Datenträgers sec\Read Die durchschnittliche Latenz beim Lesen von Daten vom Datenträger (Sie sollten das Datenbanklaufwerk als instance auswählen). Sollte kleiner als 10 Millisekunden sein Überprüfen Sie, ob ein bestimmter Prozess das Datenbanklaufwerk mehr nutzt, als er sollte.

Wenden Sie sich an Ihr Speicherteam/Ihren Speicheranbieter, ob dieses Laufwerk die aktuelle Workload bereitstellen kann und dabei eine Latenz von weniger als 10 ms aufweist. Die aktuelle Workload kann mithilfe der Datenträgerauslastungsindikatoren bestimmt werden.
LogicalDisk(*)\Durchschn. Datenträgers sec\Write Die durchschnittliche Latenz beim Schreiben von Daten auf den Datenträger (Sie sollten das Datenbanklaufwerk als instance auswählen). Sollte kleiner als 10 Millisekunden sein Überprüfen Sie, ob ein bestimmter Prozess das Datenbanklaufwerk mehr nutzt, als er sollte.

Wenden Sie sich an Ihr Speicherteam/Ihren Anbieter, ob dieses Laufwerk die aktuelle Workload mit einer Latenz von weniger als 10 ms bereitstellen kann. Die aktuelle Workload kann mithilfe der Datenträgerauslastungsindikatoren bestimmt werden.
\LogicalDisk(*)\Datenträgerlesevorgänge\s Die Rate der Ausführung von Lesevorgängen auf dem Datenträger. Kein Schwellenwert Leistungsindikatoren für die Datenträgerauslastung können Erkenntnisse bei der Problembehandlung bei der Speicherlatenz hinzufügen.
\LogicalDisk(*)\Datenträgerlesebytes\s Die Anzahl der Bytes pro Sekunde, die vom Datenträger gelesen werden. Kein Schwellenwert Leistungsindikatoren für die Datenträgerauslastung können Erkenntnisse bei der Problembehandlung bei der Speicherlatenz hinzufügen.
\LogicalDisk*\Disk Writes\sec Die Rate der Ausführung von Schreibvorgängen auf den Datenträger. Kein Schwellenwert Leistungsindikatoren für die Datenträgerauslastung (können Erkenntnisse bei der Problembehandlung bei der Speicherlatenz hinzufügen)
\LogicalDisk(*)\Disk Write Bytes\Sec Die Anzahl der Bytes pro Sekunde, die auf den Datenträger geschrieben werden. Kein Schwellenwert Leistungsindikatoren für die Datenträgerauslastung können Erkenntnisse bei der Problembehandlung bei der Speicherlatenz hinzufügen.

Siehe auch