Solución de problemas de ATA mediante los contadores de rendimiento
Se aplica a: Advanced Threat Analytics versión 1.9
Los contadores de rendimiento de ATA proporcionan información sobre el rendimiento de cada componente de ATA. Los componentes de ATA procesan los datos secuencialmente, de modo que, cuando se produce un problema, puede provocar un tráfico parcialmente interrumpido en algún lugar de la cadena de componentes. Para solucionar el problema, tiene que averiguar qué componente se está volviendo atrás y corregir el problema al principio de la cadena. Use los datos que se encuentran en los contadores de rendimiento para comprender cómo funciona cada componente. Consulte arquitectura de ATA para comprender el flujo de componentes internos de ATA.
Proceso de componente de ATA:
Cuando un componente alcanza su tamaño máximo, impide que el componente anterior le envíe más entidades.
A continuación, con el tiempo, el componente anterior comenzará a aumentar su propio tamaño hasta que bloquee el componente antes que él, para no enviar más entidades.
Esto sucede hasta el componente NetworkListener, que quitará el tráfico cuando ya no pueda reenviar entidades.
Recuperación de archivos de monitor de rendimiento para solucionar problemas
Para recuperar los archivos de monitor de rendimiento (BLG) de los distintos componentes de ATA:
- Abra el perfmon.
- Detenga el conjunto de recopilador de datos denominado: Puerta de enlace de Microsoft ATA o Centro de Microsoft ATA.
- Vaya a la carpeta del conjunto del recopilador de datos (de forma predeterminada, es "C:\Archivos de programa\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" o "C:\Archivos de programa\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Copie el archivo BLG que se modificó más recientemente.
- Reinicie el conjunto de recopilador de datos denominado: Puerta de enlace de Microsoft ATA o Centro de Microsoft ATA.
Contadores de rendimiento de puerta de enlace de ATA
En esta sección, todas las referencias a la puerta de enlace de ATA también hacen referencia a la puerta de enlace ligera de ATA.
Puede observar el estado de rendimiento en tiempo real de la puerta de enlace de ATA agregando los contadores de rendimiento de la puerta de enlace de ATA. Para ello, abra Monitor de rendimiento y agregue todos los contadores para la puerta de enlace de ATA. El nombre del objeto de contador de rendimiento es: Puerta de enlace de Microsoft ATA.
Esta es la lista de los principales contadores de puerta de enlace de ATA a los que prestar atención:
| Contador | Descripción | Umbral | Solución de problemas |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF Parsed Messages\Sec | Cantidad de tráfico que procesa la puerta de enlace de ATA cada segundo. | Sin umbral | Ayuda a comprender la cantidad de tráfico que está analizando la puerta de enlace de ATA. |
| Eventos eliminados de PEF de NetworkListener\s | Cantidad de tráfico que la puerta de enlace de ATA quita cada segundo. | Este número debe ser cero todo el tiempo (rara ráfaga corta de caídas es aceptable). | Compruebe si hay algún componente que haya alcanzado su tamaño máximo y esté bloqueando los componentes anteriores hasta el NetworkListener. Consulte el proceso de componente de ATA anterior. Compruebe que no hay ningún problema con la CPU o la memoria. |
| Microsoft ATA Gateway\NetworkListener ETW Dropped Events\Sec | Cantidad de tráfico que la puerta de enlace de ATA quita cada segundo. | Este número debe ser cero todo el tiempo (rara ráfaga corta de caídas es aceptable). | Compruebe si hay algún componente que haya alcanzado su tamaño máximo y esté bloqueando los componentes anteriores hasta el NetworkListener. Consulte el proceso de componente de ATA anterior. Compruebe que no hay ningún problema con la CPU o la memoria. |
| Microsoft ATA Gateway\NetworkActivityTranslator Message Data # Block Size | Cantidad de tráfico en cola para la traducción a actividades de red (NA). | Debe ser menor que el máximo de 1 (máximo predeterminado: 100 000) | Compruebe si hay algún componente que haya alcanzado su tamaño máximo y esté bloqueando los componentes anteriores hasta el NetworkListener. Consulte el proceso de componente de ATA anterior. Compruebe que no hay ningún problema con la CPU o la memoria. |
| Microsoft ATA Gateway\EntityResolver Activity Block Size | Número de actividades de red (NA) en cola para la resolución. | Debe ser menor que el máximo-1 (máximo predeterminado: 10 000) | Compruebe si hay algún componente que haya alcanzado su tamaño máximo y esté bloqueando los componentes anteriores hasta el NetworkListener. Consulte el proceso de componente de ATA anterior. Compruebe que no hay ningún problema con la CPU o la memoria. |
| Microsoft ATA Gateway\EntitySender Entity Batch Block Size | Cantidad de actividades de red (NA) en cola que se van a enviar al Centro ATA. | Debe ser menor que el máximo-1 (máximo predeterminado: 1000 000) | Compruebe si hay algún componente que haya alcanzado su tamaño máximo y esté bloqueando los componentes anteriores hasta el NetworkListener. Consulte el proceso de componente de ATA anterior. Compruebe que no hay ningún problema con la CPU o la memoria. |
| Microsoft ATA Gateway\EntitySender Batch Send Time | Cantidad de tiempo que tardó en enviar el último lote. | Debe ser inferior a 1000 milisegundos la mayor parte del tiempo | Compruebe si hay problemas de red entre la puerta de enlace de ATA y el Centro ATA. |
Nota:
- Los contadores con tiempo están en milisegundos.
- A veces es más conveniente supervisar la lista completa de los contadores mediante el tipo de gráfico Informe (ejemplo: supervisión en tiempo real de todos los contadores)
Contadores de rendimiento de puerta de enlace ligera de ATA
Los contadores de rendimiento se pueden usar para la administración de cuotas en la puerta de enlace ligera, a fin de asegurarse de que ATA no purga demasiados recursos de los controladores de dominio en los que está instalado. Para medir las limitaciones de recursos que ATA aplica en la puerta de enlace ligera, agregue estos contadores.
Para ello, abra Monitor de rendimiento y agregue todos los contadores para la puerta de enlace ligera de ATA. Los nombres de los objetos de contador de rendimiento son: Microsoft ATA Gateway y Microsoft ATA Gateway Updater.
| Contador | Descripción | Umbral | Solución de problemas |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU Time Max % | Cantidad máxima de tiempo de CPU (en porcentaje) que puede consumir el proceso de puerta de enlace ligera. | Sin umbral. | Esta es la limitación que protege a los recursos del controlador de dominio de que la puerta de enlace ligera de ATA los use. Si ve que el proceso alcanza el límite máximo a menudo durante un período de tiempo (el proceso alcanza el límite y, a continuación, comienza a quitar tráfico), significa que debe agregar más recursos al servidor que ejecuta el controlador de dominio. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Commit Memory Max Size | Cantidad máxima de memoria confirmada (en bytes) que puede consumir el proceso de puerta de enlace ligera. | Sin umbral. | Esta es la limitación que protege a los recursos del controlador de dominio de que la puerta de enlace ligera de ATA los use. Si ve que el proceso alcanza el límite máximo a menudo durante un período de tiempo (el proceso alcanza el límite y, a continuación, comienza a quitar el tráfico), significa que debe agregar más recursos al servidor que ejecuta el controlador de dominio. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Working Set Limit Size | Cantidad máxima de memoria física (en bytes) que puede consumir el proceso de puerta de enlace ligera. | Sin umbral. | Esta es la limitación que protege a los recursos del controlador de dominio de que la puerta de enlace ligera de ATA los use. Si ve que el proceso alcanza el límite máximo a menudo durante un período de tiempo (el proceso alcanza el límite y, a continuación, comienza a quitar el tráfico), significa que debe agregar más recursos al servidor que ejecuta el controlador de dominio. |
Para ver el consumo real, consulte los siguientes contadores:
| Contador | Descripción | Umbral | Solución de problemas |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Processor Time | Cantidad de tiempo de CPU (en porcentaje) que realmente consume el proceso de puerta de enlace ligera. | Sin umbral. | Compare los resultados de este contador con el límite que se encuentra en GatewayUpdaterResourceManager CPU Time Max %. Si ve que el proceso alcanza el límite máximo a menudo durante un período de tiempo (el proceso alcanza el límite y, a continuación, comienza a quitar tráfico), significa que debe dedicar más recursos a la puerta de enlace ligera. |
| Process(Microsoft.Tri.Gateway)\Private Bytes | Cantidad de memoria confirmada (en bytes) que realmente consume el proceso de puerta de enlace ligera. | Sin umbral. | Compare los resultados de este contador con el límite que se encuentra en GatewayUpdaterResourceManager Commit Memory Max Size (Tamaño máximo de memoria de confirmación de GatewayUpdaterResourceManager). Si ve que el proceso alcanza el límite máximo a menudo durante un período de tiempo (el proceso alcanza el límite y, a continuación, comienza a quitar tráfico), significa que debe dedicar más recursos a la puerta de enlace ligera. |
| Process(Microsoft.Tri.Gateway)\Working Set | Cantidad de memoria física (en bytes) que realmente consume el proceso de puerta de enlace ligera. | Sin umbral. | Compare los resultados de este contador con el límite que se encuentra en GatewayUpdaterResourceManager Working Set Limit Size (Tamaño del límite del conjunto de trabajo de GatewayUpdaterResourceManager). Si ve que el proceso alcanza el límite máximo a menudo durante un período de tiempo (el proceso alcanza el límite y, a continuación, comienza a quitar tráfico), significa que debe dedicar más recursos a la puerta de enlace ligera. |
Contadores de rendimiento del Centro ATA
Puede observar el estado de rendimiento en tiempo real del Centro ATA agregando los contadores de rendimiento del Centro ATA.
Para ello, abra Monitor de rendimiento y agregue todos los contadores para el Centro ATA. El nombre del objeto de contador de rendimiento es: Centro ATA de Microsoft.
Esta es la lista de los contadores principales del Centro ATA a los que prestar atención:
| Contador | Descripción | Umbral | Solución de problemas |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | Número de lotes de entidades en cola por el Centro ATA. | Debe ser menor que el máximo-1 (máximo predeterminado: 10 000) | Compruebe si hay algún componente que haya alcanzado su tamaño máximo y esté bloqueando los componentes anteriores hasta el NetworkListener. Consulte el proceso de componente de ATA anterior. Compruebe que no hay ningún problema con la CPU o la memoria. |
| Microsoft ATA Center\NetworkActivityProcessor Network Activity Block Size | Número de actividades de red (NA) en cola para su procesamiento. | Debe ser menor que el máximo-1 (valor máximo predeterminado: 50 000) | Compruebe si hay algún componente que haya alcanzado su tamaño máximo y esté bloqueando los componentes anteriores hasta el NetworkListener. Consulte el proceso de componente de ATA anterior. Compruebe que no hay ningún problema con la CPU o la memoria. |
| Microsoft ATA Center\EntityProfiler Network Activity Block Size | Número de actividades de red (NA) en cola para la generación de perfiles. | Debe ser menor que el máximo de 1 (máximo predeterminado: 100 000) | Compruebe si hay algún componente que haya alcanzado su tamaño máximo y esté bloqueando los componentes anteriores hasta el NetworkListener. Consulte el proceso de componente de ATA anterior. Compruebe que no hay ningún problema con la CPU o la memoria. |
| Centro de Microsoft ATA\Base de datos * Tamaño de bloque | Número de actividades de red, de un tipo específico, en cola para escribirse en la base de datos. | Debe ser menor que el máximo-1 (valor máximo predeterminado: 50 000) | Compruebe si hay algún componente que haya alcanzado su tamaño máximo y esté bloqueando los componentes anteriores hasta el NetworkListener. Consulte el proceso de componente de ATA anterior. Compruebe que no hay ningún problema con la CPU o la memoria. |
Nota:
- Los contadores con tiempo están en milisegundos
- A veces resulta más conveniente supervisar la lista completa de los contadores mediante el tipo de grafo de Informe (por ejemplo, la supervisión en tiempo real de todos los contadores).
Contadores del sistema operativo
En la tabla siguiente se enumeran los contadores principales del sistema operativo a los que hay que prestar atención:
| Contador | Descripción | Umbral | Solución de problemas |
|---|---|---|---|
| Procesador(_Total)% tiempo de procesador | Porcentaje de tiempo transcurrido que el procesador dedica a ejecutar un subproceso que no está inactivo. | Menos del 80 % de media | Compruebe si hay un proceso específico que está tardando mucho más tiempo del que debería. Agregue más procesadores. Reduzca la cantidad de tráfico por servidor. El contador "Processor(_Total)% Processor Time" puede ser menos preciso en los servidores virtuales, en cuyo caso la manera más precisa de medir la falta de energía del procesador es a través del contador "System\Processor Queue Length". |
| System\Context Switches\sec | Velocidad combinada a la que se cambian todos los procesadores de un subproceso a otro. | Menos de 5000*núcleos (núcleos físicos) | Compruebe si hay un proceso específico que está tardando mucho más tiempo del que debería. Agregue más procesadores. Reduzca la cantidad de tráfico por servidor. El contador "Processor(_Total)% Processor Time" puede ser menos preciso en los servidores virtuales, en cuyo caso la manera más precisa de medir la falta de energía del procesador es a través del contador "System\Processor Queue Length". |
| Sistema\Longitud de la cola del procesador | El número de subprocesos que están listos para ejecutarse y que están a la espera de ser programados. | Menos de cinco*núcleos (núcleos físicos) | Compruebe si hay un proceso específico que está tardando mucho más tiempo del que debería. Agregue más procesadores. Reduzca la cantidad de tráfico por servidor. El contador "Processor(_Total)% Processor Time" puede ser menos preciso en los servidores virtuales, en cuyo caso la manera más precisa de medir la falta de energía del procesador es a través del contador "System\Processor Queue Length". |
| Memory\Available MBytes | Cantidad de memoria física (RAM) disponible para la asignación. | Debe ser mayor que 512 | Compruebe si hay un proceso específico que está tomando mucha más memoria física de la que debería. Aumentar la cantidad de memoria física. Reduzca la cantidad de tráfico por servidor. |
| LogicalDisk(*)\Avg. Disk sec\Read | Latencia media para leer datos del disco (debe elegir la unidad de base de datos como instancia). | Debe ser inferior a 10 milisegundos | Compruebe si hay un proceso específico que usa la unidad de base de datos más de lo que debería. Consulte con el equipo de almacenamiento o el proveedor si esta unidad puede entregar la carga de trabajo actual con menos de 10 ms de latencia. La carga de trabajo actual se puede determinar mediante los contadores de uso de disco. |
| LogicalDisk(*)\Avg. Disk sec\Write | Latencia media para escribir datos en el disco (debe elegir la unidad de base de datos como instancia). | Debe ser inferior a 10 milisegundos | Compruebe si hay un proceso específico que usa la unidad de base de datos más de lo que debería. Consulte con el equipo de almacenamiento o el proveedor si esta unidad puede entregar la carga de trabajo actual con menos de 10 ms de latencia. La carga de trabajo actual se puede determinar mediante los contadores de uso de disco. |
| \LogicalDisk(*)\Lecturas de disco\s | Velocidad de realización de operaciones de lectura en el disco. | Sin umbral | Los contadores de uso de disco pueden agregar información al solucionar problemas de latencia de almacenamiento. |
| \LogicalDisk(*)\Disk Read Bytes\sec | Número de bytes por segundo que se leen desde el disco. | Sin umbral | Los contadores de uso de disco pueden agregar información al solucionar problemas de latencia de almacenamiento. |
| \LogicalDisk*\Disk Writes\sec | Velocidad de realización de operaciones de escritura en el disco. | Sin umbral | Contadores de uso de disco (puede agregar información al solucionar problemas de latencia de almacenamiento) |
| \LogicalDisk(*)\Disk Write Bytes\sec | Número de bytes por segundo que se escriben en el disco. | Sin umbral | Los contadores de uso de disco pueden agregar información al solucionar problemas de latencia de almacenamiento. |