Problembehandlung bei ATA mithilfe der Leistungsindikatoren
Gilt für: Advanced Threat Analytics Version 1.9
Die ATA-Leistungsindikatoren bieten Einen Einblick in die Leistung der einzelnen ATA-Komponenten. Die Komponenten in ATA verarbeiten Daten sequenziell, sodass es bei einem Problem möglicherweise zu teilweise verworfenem Datenverkehr entlang der Komponentenkette kommt. Um das Problem zu beheben, müssen Sie herausfinden, welche Komponente rückversichert wird, und das Problem am Anfang der Kette beheben. Verwenden Sie die Daten in den Leistungsindikatoren, um zu verstehen, wie die einzelnen Komponenten funktionieren. Informationen zum Ablauf interner ATA-Komponenten finden Sie unter ATA-Architektur .
ATA-Komponentenprozess:
Wenn eine Komponente ihre maximale Größe erreicht, wird verhindert, dass die vorherige Komponente weitere Entitäten an sie sendet.
Dann beginnt die vorherige Komponente schließlich, ihre eigene Größe zu erhöhen, bis sie die komponente vor ihr blockiert, um weitere Entitäten zu senden.
Dies geschieht bis zurück zur NetworkListener-Komponente, die datenverkehrslos wird, wenn entitäten nicht mehr weitergeleitet werden können.
Abrufen von Leistungsüberwachungsdateien zur Problembehandlung
So rufen Sie die Leistungsmonitordateien (BLG) aus den verschiedenen ATA-Komponenten ab:
- Öffnen Sie perfmon.
- Beenden Sie den Datensammlersatz mit dem Namen Microsoft ATA Gateway oder Microsoft ATA Center.
- Wechseln Sie zum Datensammlersatzordner (standardmäßig ist dies "C:\Programme\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" oder "C:\Programme\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Kopieren Sie die zuletzt geänderte BLG-Datei.
- Starten Sie den Datensammlersatz mit dem Namen Microsoft ATA Gateway oder Microsoft ATA Center neu.
ATA-Gateway-Leistungsindikatoren
In diesem Abschnitt bezieht sich jeder Verweis auf ATA-Gateway auch auf das ATA-Lightweight-Gateway.
Sie können die Echtzeitleistung status des ATA-Gateways beobachten, indem Sie die Leistungsindikatoren des ATA-Gateways hinzufügen. Dies erfolgt durch Öffnen Leistungsmonitor und Hinzufügen aller Leistungsindikatoren für das ATA-Gateway. Der Name des Leistungsindikatorobjekts lautet: Microsoft ATA-Gateway.
Dies ist die Liste der Standard ATA-Gatewayzähler, auf die Sie achten müssen:
Leistungsindikator | Beschreibung | Schwellenwert | Problembehandlung |
---|---|---|---|
Microsoft ATA Gateway\NetworkListener PEF Parsed Messages\Sec | Die Menge des Datenverkehrs, der jede Sekunde vom ATA-Gateway verarbeitet wird. | Kein Schwellenwert | Hilft Ihnen, die Menge des Datenverkehrs zu verstehen, der vom ATA-Gateway analysiert wird. |
NetworkListener PEF Dropped Events\Sec | Die Menge des Datenverkehrs, der jede Sekunde vom ATA-Gateway gelöscht wird. | Diese Zahl sollte die ganze Zeit null sein (seltene kurze Bursts von Tropfen sind akzeptabel). | Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie oben im ATA-Komponentenprozess . Überprüfen Sie, ob kein Problem mit der CPU oder dem Arbeitsspeicher vorliegt. |
Microsoft ATA Gateway\NetworkListener ETW Dropped Events\Sec | Die Menge des Datenverkehrs, der jede Sekunde vom ATA-Gateway gelöscht wird. | Diese Zahl sollte die ganze Zeit null sein (seltene kurze Bursts von Tropfen sind akzeptabel). | Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie oben im ATA-Komponentenprozess . Überprüfen Sie, ob kein Problem mit der CPU oder dem Arbeitsspeicher vorliegt. |
Microsoft ATA Gateway\NetworkActivityTranslator Message Data # Block Size | Die Menge des Datenverkehrs, der für die Übersetzung in Netzwerkaktivitäten (Network Activities, NAs) in die Warteschlange eingereiht wird. | Sollte kleiner als maximal 1 sein (Standardmaximum: 100.000) | Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie oben im ATA-Komponentenprozess . Überprüfen Sie, ob kein Problem mit der CPU oder dem Arbeitsspeicher vorliegt. |
Microsoft ATA Gateway\EntityResolver-Aktivitätsblockgröße | Die Anzahl der Netzwerkaktivitäten (Network Activities, NAs), die für die Auflösung in die Warteschlange eingereiht wurden. | Sollte kleiner als maximal 1 sein (Standardmaximum: 10.000) | Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie oben im ATA-Komponentenprozess . Überprüfen Sie, ob kein Problem mit der CPU oder dem Arbeitsspeicher vorliegt. |
Microsoft ATA Gateway\EntitySender Entity Batch Block Size | Die Menge der Netzwerkaktivitäten (Network Activities, NAs), die in die Warteschlange eingereiht werden sollen, die an ATA Center gesendet werden sollen. | Sollte kleiner als maximal 1 sein (Standardmaximum: 1.000.000) | Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie oben im ATA-Komponentenprozess . Überprüfen Sie, ob kein Problem mit der CPU oder dem Arbeitsspeicher vorliegt. |
Microsoft ATA Gateway\EntitySender Batch Send Time | Die Zeit, die zum Senden des letzten Batches benötigt wurde. | Sollte die meiste Zeit weniger als 1000 Millisekunden betragen | Überprüfen Sie, ob Netzwerkprobleme zwischen dem ATA-Gateway und dem ATA Center vorliegen. |
Hinweis
- Zeitindikatoren liegen in Millisekunden vor.
- Es ist manchmal bequemer, die vollständige Liste der Indikatoren mithilfe des Berichtsdiagrammtyps zu überwachen (Beispiel: Echtzeitüberwachung aller Leistungsindikatoren).
ATA Lightweight Gateway-Leistungsindikatoren
Die Leistungsindikatoren können für die Kontingentverwaltung im Lightweight-Gateway verwendet werden, um sicherzustellen, dass ATA nicht zu viele Ressourcen von den Domänencontrollern abfließt, auf denen es installiert ist. Fügen Sie diese Leistungsindikatoren hinzu, um die Ressourceneinschränkungen zu messen, die ATA für das Lightweight-Gateway erzwingt.
Dies erfolgt durch Öffnen Leistungsmonitor und Hinzufügen aller Leistungsindikatoren für das ATA-Lightweightgateway. Die Namen der Leistungsindikatorobjekte sind: Microsoft ATA Gateway und Microsoft ATA Gateway Updater.
Leistungsindikator | Beschreibung | Schwellenwert | Problembehandlung |
---|---|---|---|
Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU Time Max % | Die maximale CPU-Zeit (in Prozent), die der Lightweight Gateway-Prozess verbrauchen kann. | Kein Schwellenwert. | Dies ist die Einschränkung, die die Domänencontrollerressourcen vor der Nutzung durch das ATA-Lightweightgateway schützt. Wenn Sie feststellen, dass der Prozess den maximalen Grenzwert häufig über einen bestimmten Zeitraum erreicht (der Prozess erreicht den Grenzwert und beginnt dann mit dem Löschen des Datenverkehrs), bedeutet dies, dass Sie dem Server, auf dem der Domänencontroller ausgeführt wird, weitere Ressourcen hinzufügen müssen. |
Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Maximale Größe des Commitspeichers | Die maximale Menge des zugesicherten Arbeitsspeichers (in Bytes), den der Lightweight Gateway-Prozess verbrauchen kann. | Kein Schwellenwert. | Dies ist die Einschränkung, die die Domänencontrollerressourcen vor der Nutzung durch das ATA-Lightweightgateway schützt. Wenn Sie feststellen, dass der Prozess den maximalen Grenzwert häufig über einen bestimmten Zeitraum erreicht (der Prozess erreicht den Grenzwert und beginnt dann mit dem Löschen des Datenverkehrs), bedeutet dies, dass Sie dem Server, auf dem der Domänencontroller ausgeführt wird, weitere Ressourcen hinzufügen müssen. |
Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Working Set Limit Size | Die maximale Menge an physischem Arbeitsspeicher (in Bytes), die der Lightweight Gateway-Prozess verbrauchen kann. | Kein Schwellenwert. | Dies ist die Einschränkung, die die Domänencontrollerressourcen vor der Nutzung durch das ATA-Lightweightgateway schützt. Wenn Sie feststellen, dass der Prozess den maximalen Grenzwert häufig über einen bestimmten Zeitraum erreicht (der Prozess erreicht den Grenzwert und beginnt dann mit dem Löschen des Datenverkehrs), bedeutet dies, dass Sie dem Server, auf dem der Domänencontroller ausgeführt wird, weitere Ressourcen hinzufügen müssen. |
Informationen zum tatsächlichen Verbrauch finden Sie in den folgenden Leistungsindikatoren:
Leistungsindikator | Beschreibung | Schwellenwert | Problembehandlung |
---|---|---|---|
Process(Microsoft.Tri.Gateway)%Processor Time | Die CPU-Zeit (in Prozent), die der Lightweight Gateway-Prozess tatsächlich in Anspruch nimmt. | Kein Schwellenwert. | Vergleichen Sie die Ergebnisse dieses Indikators mit dem Grenzwert unter GatewayUpdaterResourceManager CPU Time Max %. Wenn Sie feststellen, dass der Prozess den maximalen Grenzwert häufig über einen bestimmten Zeitraum erreicht (der Prozess erreicht den Grenzwert und beginnt dann mit dem Löschen des Datenverkehrs), bedeutet dies, dass Sie mehr Ressourcen für das Lightweight-Gateway bereitstellen müssen. |
Process(Microsoft.Tri.Gateway)\Private Bytes | Die Menge des zugesicherten Arbeitsspeichers (in Bytes), den der Lightweight Gateway-Prozess tatsächlich verbraucht. | Kein Schwellenwert. | Vergleichen Sie die Ergebnisse dieses Leistungsindikators mit dem Grenzwert unter Maximale Größe des Commitspeichers für GatewayUpdaterResourceManager. Wenn Sie feststellen, dass der Prozess den maximalen Grenzwert häufig über einen bestimmten Zeitraum erreicht (der Prozess erreicht den Grenzwert und beginnt dann mit dem Löschen des Datenverkehrs), bedeutet dies, dass Sie mehr Ressourcen für das Lightweight-Gateway bereitstellen müssen. |
Process(Microsoft.Tri.Gateway)\Working Set | Die Menge des physischen Arbeitsspeichers (in Bytes), den der Lightweight Gateway-Prozess tatsächlich verbraucht. | Kein Schwellenwert. | Vergleichen Sie die Ergebnisse dieses Leistungsindikators mit dem Grenzwert in GatewayUpdaterResourceManager Working Set Limit Size. Wenn Sie feststellen, dass der Prozess den maximalen Grenzwert häufig über einen bestimmten Zeitraum erreicht (der Prozess erreicht den Grenzwert und beginnt dann mit dem Löschen des Datenverkehrs), bedeutet dies, dass Sie mehr Ressourcen für das Lightweight-Gateway bereitstellen müssen. |
ATA Center-Leistungsindikatoren
Sie können die Echtzeitleistung status von ATA Center beobachten, indem Sie die Leistungsindikatoren von ATA Center hinzufügen.
Dies erfolgt durch Öffnen Leistungsmonitor und Hinzufügen aller Leistungsindikatoren für ATA Center. Der Name des Leistungsindikatorobjekts lautet: Microsoft ATA Center.
Hier ist die Liste der Standard ATA Center-Indikatoren, auf die Sie achten müssen:
Leistungsindikator | Beschreibung | Schwellenwert | Problembehandlung |
---|---|---|---|
Microsoft ATA Center\EntityReceiver Entity Batch Block Size | Die Anzahl der Entitätsbatches, die von ATA Center in die Warteschlange gestellt werden. | Sollte kleiner als maximal 1 sein (Standardmaximum: 10.000) | Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie im vorherigen ATA-Komponentenprozess. Überprüfen Sie, ob kein Problem mit der CPU oder dem Arbeitsspeicher vorliegt. |
Microsoft ATA Center\NetworkActivityProcessor Network Activity Block Size | Die Anzahl der Netzwerkaktivitäten (Network Activities, NAs), die für die Verarbeitung in die Warteschlange eingereiht wurden. | Sollte kleiner als maximal 1 sein (Standardmaximum: 50.000) | Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie im vorherigen ATA-Komponentenprozess. Überprüfen Sie, ob kein Problem mit der CPU oder dem Arbeitsspeicher vorliegt. |
Microsoft ATA Center\EntityProfiler Network Activity Block Size | Die Anzahl der Netzwerkaktivitäten (NAs), die für die Profilerstellung in die Warteschlange gestellt werden. | Sollte kleiner als maximal 1 sein (Standardmaximum: 100.000) | Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie im vorherigen ATA-Komponentenprozess. Überprüfen Sie, ob kein Problem mit der CPU oder dem Arbeitsspeicher vorliegt. |
Microsoft ATA Center\Database * Blockgröße | Die Anzahl der Netzwerkaktivitäten eines bestimmten Typs, die in die Datenbank geschrieben werden sollen. | Sollte kleiner als maximal 1 sein (Standardmaximum: 50.000) | Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie im vorherigen ATA-Komponentenprozess. Überprüfen Sie, ob kein Problem mit der CPU oder dem Arbeitsspeicher vorliegt. |
Hinweis
- Zeitindikatoren liegen in Millisekunden vor.
- Manchmal ist es praktischer, die vollständige Liste der Indikatoren mithilfe des Graphtyps für Report zu überwachen (Beispiel: Echtzeitüberwachung aller Leistungsindikatoren).
Betriebssystemindikatoren
In der folgenden Tabelle sind die Standard Betriebssystemzähler aufgeführt, auf die Sie achten müssen:
Leistungsindikator | Beschreibung | Schwellenwert | Problembehandlung |
---|---|---|---|
Prozessor(_Total)% Prozessorzeit | Der Prozentsatz der verstrichenen Zeit, die der Prozessor für die Ausführung eines Threads ohne Leerlauf aufwendet. | Weniger als 80 % im Durchschnitt | Überprüfen Sie, ob es einen bestimmten Prozess gibt, der viel mehr Prozessorzeit in Anspruch nimmt, als er sollte. Fügen Sie weitere Prozessoren hinzu. Reduzieren Sie die Menge des Datenverkehrs pro Server. Der Zähler "Prozessor(_Total)% Prozessorzeit" ist auf virtuellen Servern möglicherweise weniger genau. In diesem Fall ist die genauere Methode, um den Mangel an Prozessorleistung zu messen, der Zähler "System\Prozessorwarteschlangenlänge". |
System\Kontextwechsel\Sekunde | Die kombinierte Rate, mit der alle Prozessoren von einem Thread auf einen anderen umgestellt werden. | Weniger als 5000* Kerne (physische Kerne) | Überprüfen Sie, ob es einen bestimmten Prozess gibt, der viel mehr Prozessorzeit in Anspruch nimmt, als er sollte. Fügen Sie weitere Prozessoren hinzu. Reduzieren Sie die Menge des Datenverkehrs pro Server. Der Zähler "Prozessor(_Total)% Prozessorzeit" ist auf virtuellen Servern möglicherweise weniger genau. In diesem Fall ist die genauere Methode, um den Mangel an Prozessorleistung zu messen, der Zähler "System\Prozessorwarteschlangenlänge". |
Systemprozessor-Warteschlangenlänge | Die Anzahl der Threads, die ausgeführt werden können und darauf warten, geplant zu werden. | Weniger als fünf* Kerne (physische Kerne) | Überprüfen Sie, ob es einen bestimmten Prozess gibt, der viel mehr Prozessorzeit in Anspruch nimmt, als er sollte. Fügen Sie weitere Prozessoren hinzu. Reduzieren Sie die Menge des Datenverkehrs pro Server. Der Zähler "Prozessor(_Total)% Prozessorzeit" ist auf virtuellen Servern möglicherweise weniger genau. In diesem Fall ist die genauere Methode, um den Mangel an Prozessorleistung zu messen, der Zähler "System\Prozessorwarteschlangenlänge". |
Arbeitsspeicher\Verfügbare MB | Die Menge des für die Zuordnung verfügbaren physischen Arbeitsspeichers (RAM). | Sollte mehr als 512 sein | Überprüfen Sie, ob es einen bestimmten Prozess gibt, der viel mehr physischen Arbeitsspeicher benötigt, als er sollte. Erhöhen Sie die Menge des physischen Speichers. Reduzieren Sie die Menge des Datenverkehrs pro Server. |
LogicalDisk(*)\Durchschn. Datenträgers sec\Read | Die durchschnittliche Latenz beim Lesen von Daten vom Datenträger (Sie sollten das Datenbanklaufwerk als instance auswählen). | Sollte kleiner als 10 Millisekunden sein | Überprüfen Sie, ob ein bestimmter Prozess das Datenbanklaufwerk mehr nutzt, als er sollte. Wenden Sie sich an Ihr Speicherteam/Ihren Speicheranbieter, ob dieses Laufwerk die aktuelle Workload bereitstellen kann und dabei eine Latenz von weniger als 10 ms aufweist. Die aktuelle Workload kann mithilfe der Datenträgerauslastungsindikatoren bestimmt werden. |
LogicalDisk(*)\Durchschn. Datenträgers sec\Write | Die durchschnittliche Latenz beim Schreiben von Daten auf den Datenträger (Sie sollten das Datenbanklaufwerk als instance auswählen). | Sollte kleiner als 10 Millisekunden sein | Überprüfen Sie, ob ein bestimmter Prozess das Datenbanklaufwerk mehr nutzt, als er sollte. Wenden Sie sich an Ihr Speicherteam/Ihren Anbieter, ob dieses Laufwerk die aktuelle Workload mit einer Latenz von weniger als 10 ms bereitstellen kann. Die aktuelle Workload kann mithilfe der Datenträgerauslastungsindikatoren bestimmt werden. |
\LogicalDisk(*)\Datenträgerlesevorgänge\s | Die Rate der Ausführung von Lesevorgängen auf dem Datenträger. | Kein Schwellenwert | Leistungsindikatoren für die Datenträgerauslastung können Erkenntnisse bei der Problembehandlung bei der Speicherlatenz hinzufügen. |
\LogicalDisk(*)\Datenträgerlesebytes\s | Die Anzahl der Bytes pro Sekunde, die vom Datenträger gelesen werden. | Kein Schwellenwert | Leistungsindikatoren für die Datenträgerauslastung können Erkenntnisse bei der Problembehandlung bei der Speicherlatenz hinzufügen. |
\LogicalDisk*\Disk Writes\sec | Die Rate der Ausführung von Schreibvorgängen auf den Datenträger. | Kein Schwellenwert | Leistungsindikatoren für die Datenträgerauslastung (können Erkenntnisse bei der Problembehandlung bei der Speicherlatenz hinzufügen) |
\LogicalDisk(*)\Disk Write Bytes\Sec | Die Anzahl der Bytes pro Sekunde, die auf den Datenträger geschrieben werden. | Kein Schwellenwert | Leistungsindikatoren für die Datenträgerauslastung können Erkenntnisse bei der Problembehandlung bei der Speicherlatenz hinzufügen. |