ATA:n vianmääritys resurssilaskureiden avulla
Koskee: Advanced Threat Analytics -versio 1.9
ATA-resurssilaskurit antavat tietoja siitä, miten hyvin ATA:n kukin komponentti suoriutuu. ATA:n osat käsittelevät tietoja järjestyksessä, joten ongelman ilmetessä se saattaa aiheuttaa osittaista liikennettä jossain osaketjun yhteydessä. Ongelman korjaamiseksi on selvitettävä, mikä osa on varmuuskopioimassa, ja korjattava ongelma ketjun alussa. Resurssilaskurista löyty olevien tietojen avulla voit selvittää, miten kukin osa toimii. Tutustu ATA-arkkitehtuuriin , jotta ymmärrät sisäisten ATA-osien kulun.
ATA-osaprosessi:
Kun komponentti saavuttaa enimmäiskokonsa, se estää edellistä komponenttia lähettämästä sille lisää entiteettejä.
Lopulta edellinen komponentti alkaa suurentaa omaa kokoaan , kunnes se estää sitä edeltävän komponentin lähettämästä lisää entiteettejä.
Tämä tapahtuu aina takaisin NetworkListener-osaan, mikä pudottaa liikenteen, kun entiteettejä ei voi enää lähettää edelleen.
Noudetaan suorituskyvyn valvontatiedostoja vianmääritystä varten
Suorituskyvyn valvontatiedostojen (BLG) noutaminen eri ATA-osista:
- Avoin perfmon.
- Pysäytä tiedonkeräysjoukko nimeltä Microsoft ATA Gateway tai Microsoft ATA Center.
- Siirry tiedonkeräysjoukon kansioon (oletusarvoisesti tämä on "C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" tai "C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Kopioi viimeksi muokattu BLG-tiedosto.
- Käynnistä uudelleen tiedonkeruutyökalujoukko nimeltä Microsoft ATA Gateway tai Microsoft ATA Center.
ATA-yhdyskäytävän resurssilaskurit
Tässä osiossa jokainen viittaus ATA-yhdyskäytävään viittaa myös ATA:n kevyeen yhdyskäytävään.
Voit tarkkailla ATA-yhdyskäytävän reaaliaikaista suorituskyvyn tilaa lisäämällä ATA-yhdyskäytävän resurssilaskurit. Tämä tehdään avaamalla Suorituskyvyn valvonta ja lisäämällä kaikki ATA-yhdyskäytävän laskurit. Resurssilaskuriobjektin nimi on: Microsoft ATA Gateway.
Tässä on luettelo ATA-yhdyskäytävän tärkeimmistä laskurista, joita kannattaa kiinnittää huomiota:
| Laskuri | Kuvaus | Kynnys | Vianmääritys |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF Parsed Messages\Sec | ATA-yhdyskäytävän käsittelemän liikenteen määrä joka sekunti. | Ei raja-arvoa | Auttaa ymmärtämään, kuinka paljon liikennettä ATA-yhdyskäytävä jäsentää. |
| NetworkListener PEF Pudotetut tapahtumat\Sec | ATA-yhdyskäytävän pudottaman liikenteen määrä joka sekunti. | Tämän luvun tulee olla koko ajan nolla (harvinainen lyhyt tippapurkaus on hyväksyttävä). | Tarkista, onko mikään osa saavuttanut enimmäiskokonsa, ja estää aiemmat osat NetworkListener-kohteeseen asti. Katso yllä oleva ATA-osaprosessi . Tarkista, että suorittimen tai muistin kanssa ei ole ongelmia. |
| Microsoft ATA Gateway\NetworkListener ETW Dropped Events\Sec | ATA-yhdyskäytävän pudottaman liikenteen määrä joka sekunti. | Tämän luvun tulee olla koko ajan nolla (harvinainen lyhyt tippapurkaus on hyväksyttävä). | Tarkista, onko mikään osa saavuttanut enimmäiskokonsa, ja estää aiemmat osat NetworkListener-kohteeseen asti. Katso yllä oleva ATA-osaprosessi . Tarkista, että suorittimen tai muistin kanssa ei ole ongelmia. |
| Microsoft ATA Gateway\NetworkActivityTranslator Viestitiedot # Lohkon koko | Verkkotoimintojen kääntämiseen jonossa olevan liikenteen määrä. | On oltava pienempi kuin suurin sallittu arvo 1 (oletusarvoinen enimmäismäärä: 100 000) | Tarkista, onko mikään osa saavuttanut enimmäiskokonsa, ja estää aiemmat osat NetworkListener-kohteeseen asti. Katso yllä oleva ATA-osaprosessi . Tarkista, että suorittimen tai muistin kanssa ei ole ongelmia. |
| Microsoft ATA Gateway\EntityResolver Activity Block Size | Ratkaisujonoon asetettujen verkkotoimintojen määrä. | On oltava pienempi kuin suurin sallittu arvo 1 (oletusarvoinen enimmäismäärä: 10 000) | Tarkista, onko mikään osa saavuttanut enimmäiskokonsa, ja estää aiemmat osat NetworkListener-kohteeseen asti. Katso yllä oleva ATA-osaprosessi . Tarkista, että suorittimen tai muistin kanssa ei ole ongelmia. |
| Microsoft ATA Gateway\EntitySender Entity Batch Block Size | ATA-keskukseen jonoon asetettujen verkkotoimintojen määrä. | On oltava pienempi kuin suurin arvo 1 (oletusarvoinen enimmäismäärä: 1 000 000) | Tarkista, onko mikään osa saavuttanut enimmäiskokonsa, ja estää aiemmat osat NetworkListener-kohteeseen asti. Katso yllä oleva ATA-osaprosessi . Tarkista, että suorittimen tai muistin kanssa ei ole ongelmia. |
| Microsoft ATA Gateway\EntitySender-erän lähetysaika | Viimeisen erän lähettämiseen kuluva aika. | Tulee olla enintään 1 000 millisekuntia | Tarkista, onko ATA-yhdyskäytävän ja ATA-keskuksen välillä verkko-ongelmia. |
Huomautus
- Ajastetut laskurit ovat millisekunteina.
- Joskus on kätevämpää valvoa laskurien täydellistä luetteloa käyttämällä Raporttikaavio-tyyppiä (esimerkki: kaikkien laskurien reaaliaikainen valvonta)
ATA Lightweight Gatewayn resurssilaskurit
Resurssilaskureita voidaan käyttää kiintiöiden hallintaan Kevyessä yhdyskäytävässä sen varmistamiseksi, että ATA ei tyhjennä liikaa resursseja toimialueen ohjauskoneilta, joihin se on asennettu. Jos haluat mitata ATA:n kevyessä yhdyskäytävässä pakottamia resurssirajoituksia, lisää nämä laskurit.
Tämä tehdään avaamalla Performance Monitor ja lisäämällä kaikki laskurit ATA:n kevyelle yhdyskäytävälle. Resurssilaskuriobjektien nimet ovat: Microsoft ATA Gateway ja Microsoft ATA Gateway Updater.
| Laskuri | Kuvaus | Kynnys | Vianmääritys |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Suoritinaika enintään % | Tämä on sen suorittimen enimmäisaika (prosentteina), jonka Kevyt yhdyskäytävä -prosessi voi kuluttaa. | Ei raja-arvoa. | Tämä rajoitus suojaa toimialueen ohjauskoneresursseja ATA Lightweight Gatewayn käytöstä. Jos näet, että prosessi saavuttaa suurimman sallitun rajan usein tietyllä ajanjaksolla (prosessi saavuttaa rajoituksen ja alkaa sitten pudottaa liikennettä), sinun on lisättävä resursseja toimialueen ohjauskonetta suorittavaan palvelimeen.. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Vahvista muistin enimmäiskoko | Kevyt yhdyskäytävä -prosessin käyttämän vahvistetun muistin enimmäismäärä (tavuina). | Ei raja-arvoa. | Tämä rajoitus suojaa toimialueen ohjauskoneresursseja ATA Lightweight Gatewayn käytöstä. Jos näet, että prosessi saavuttaa enimmäisrajan usein tietyllä ajanjaksolla (prosessi saavuttaa rajoituksen ja alkaa sitten pudottaa liikennettä), sinun on lisättävä resursseja toimialueen ohjauskonetta suorittavaan palvelimeen. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Työjoukon rajoituskoko | Suurin fyysisen muistin määrä (tavuina), jonka Kevyt yhdyskäytävä -prosessi voi kuluttaa. | Ei raja-arvoa. | Tämä rajoitus suojaa toimialueen ohjauskoneresursseja ATA Lightweight Gatewayn käytöstä. Jos näet, että prosessi saavuttaa enimmäisrajan usein tietyllä ajanjaksolla (prosessi saavuttaa rajoituksen ja alkaa sitten pudottaa liikennettä), sinun on lisättävä resursseja toimialueen ohjauskonetta suorittavaan palvelimeen. |
Jos haluat nähdä todellisen kulutuksesi, katso seuraavia laskureita:
| Laskuri | Kuvaus | Kynnys | Vianmääritys |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Processor Time | Kuinka paljon suoritinaikaa (prosentteina) Kevyt yhdyskäytävä -prosessi todella kuluttaa. | Ei raja-arvoa. | Vertaa tämän laskurin tuloksia GatewayUpdaterResourceManager-suoritinajan enimmäisrajaan %. Jos huomaat, että prosessi saavuttaa enimmäisrajan usein tietyllä ajanjaksolla (prosessi saavuttaa rajoituksen ja alkaa sitten pudottaa liikennettä), sinun on varattava enemmän resursseja Kevyelle yhdyskäytävälle. |
| Process(Microsoft.Tri.Gateway)\Yksityiset tavut | Kevyt yhdyskäytävä -prosessin todellisuudessa kuluttaman vahvistetun muistin määrä (tavuina). | Ei raja-arvoa. | Vertaa tämän laskurin tuloksia GatewayUpdaterResourceManager Commit Memory Max Size -kohdassa määritettyyn rajaan. Jos huomaat, että prosessi saavuttaa enimmäisrajan usein tietyllä ajanjaksolla (prosessi saavuttaa rajoituksen ja alkaa sitten pudottaa liikennettä), sinun on varattava enemmän resursseja Kevyelle yhdyskäytävälle. |
| Process(Microsoft.Tri.Gateway)\Working Set | Kevyen yhdyskäytävän prosessin todellisuudessa kuluttaman fyysisen muistin määrä (tavuina). | Ei raja-arvoa. | Vertaa tämän laskurin tuloksia GatewayUpdaterResourceManager-työjoukon rajoituskoon rajaan. Jos huomaat, että prosessi saavuttaa enimmäisrajan usein tietyllä ajanjaksolla (prosessi saavuttaa rajoituksen ja alkaa sitten pudottaa liikennettä), sinun on varattava enemmän resursseja Kevyelle yhdyskäytävälle. |
ATA Centerin resurssilaskurit
Voit tarkkailla ATA-keskuksen reaaliaikaista suorituskyvyn tilaa lisäämällä ATA-keskuksen resurssilaskurit.
Tämä tehdään avaamalla Suorituskyvyn valvonta ja lisäämällä kaikki ATA-keskuksen laskurit. Resurssilaskuriobjektin nimi on: Microsoft ATA Center.
Tässä on luettelo ATA-keskuksen tärkeimmistä laskurista, joita kannattaa kiinnittää huomiota:
| Laskuri | Kuvaus | Kynnys | Vianmääritys |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | ATA-keskuksen jonottamien entiteettierän määrä. | On oltava pienempi kuin suurin sallittu arvo 1 (oletusarvoinen enimmäismäärä: 10 000) | Tarkista, onko mikään osa saavuttanut enimmäiskokonsa, ja estää aiemmat osat NetworkListener-kohteeseen asti. Viittaa edelliseen ATA-osaprosessiin. Tarkista, että suorittimen tai muistin kanssa ei ole ongelmia. |
| Microsoft ATA Center\NetworkActivityProcessor Verkon toimintalohkon koko | Käsiteltävien verkkotoimintojen määrä jonossa. | On oltava pienempi kuin suurin sallittu enimmäismäärä 1 (oletusarvoinen enimmäismäärä: 50 000) | Tarkista, onko mikään osa saavuttanut enimmäiskokonsa, ja estää aiemmat osat NetworkListener-kohteeseen asti. Viittaa edelliseen ATA-osaprosessiin. Tarkista, että suorittimen tai muistin kanssa ei ole ongelmia. |
| Microsoft ATA Center\EntityProfiler Network Activity Block Size | Profilointia varten jonossa olevien verkkotoimintojen määrä. | On oltava pienempi kuin suurin sallittu arvo 1 (oletusarvoinen enimmäismäärä: 100 000) | Tarkista, onko mikään osa saavuttanut enimmäiskokonsa, ja estää aiemmat osat NetworkListener-kohteeseen asti. Viittaa edelliseen ATA-osaprosessiin. Tarkista, että suorittimen tai muistin kanssa ei ole ongelmia. |
| Microsoft ATA Center\Database * Lohkon koko | Tietyntyyppisten verkkotoimintojen määrä jonossa tietokantaan kirjoittamista varten. | On oltava pienempi kuin suurin sallittu enimmäismäärä 1 (oletusarvoinen enimmäismäärä: 50 000) | Tarkista, onko mikään osa saavuttanut enimmäiskokonsa, ja estää aiemmat osat NetworkListener-kohteeseen asti. Viittaa edelliseen ATA-osaprosessiin. Tarkista, että suorittimen tai muistin kanssa ei ole ongelmia. |
Huomautus
- Ajastetut laskurit ovat millisekunteina
- Joskus on kätevämpää valvoa laskurien täydellistä luetteloa raportin kaaviotyypin avulla (esimerkiksi kaikkien laskurien reaaliaikainen valvonta).
Käyttöjärjestelmän laskurit
Seuraavassa taulukossa on lueteltu pääasialliset käyttöjärjestelmän laskurit, joita kannattaa kiinnittää huomiota:
| Laskuri | Kuvaus | Kynnys | Vianmääritys |
|---|---|---|---|
| Suorittimen(_Total)% suoritinaika | Prosentteina kulunut aika, jonka suoritin käyttää muun kuin käyttämättömän säikeen suorittamiseen. | Alle 80 % keskimäärin | Tarkista, viekö tietty prosessi paljon enemmän suoritinaikaa kuin pitäisi. Lisää suorittimia. Vähennä palvelinkohtaista liikennettä. Suorittimen(_Total)% suoritinajan laskuri saattaa olla näennäispalvelimien osalta vähemmän tarkka, jolloin tarkempi tapa mitata suorittimen tehon puutetta on System\Processor Queue Length -laskurin kautta. |
| System\Context Switches\sec | Yhdistetty nopeus, jolla kaikki suorittimet vaihdetaan säikeestä toiseen. | Alle 5 000*ydintä (fyysiset ytimet) | Tarkista, viekö tietty prosessi paljon enemmän suoritinaikaa kuin pitäisi. Lisää suorittimia. Vähennä palvelinkohtaista liikennettä. Suorittimen(_Total)% suoritinajan laskuri saattaa olla näennäispalvelimien osalta vähemmän tarkka, jolloin tarkempi tapa mitata suorittimen tehon puutetta on System\Processor Queue Length -laskurin kautta. |
| System\Processor Queue Length | Niiden säikeiden määrä, jotka ovat valmiita suoritettavaksi ja odottavat ajoituksia. | Alle viisi*ydintä (fyysiset ytimet) | Tarkista, viekö tietty prosessi paljon enemmän suoritinaikaa kuin pitäisi. Lisää suorittimia. Vähennä palvelinkohtaista liikennettä. Suorittimen(_Total)% suoritinajan laskuri saattaa olla näennäispalvelimien osalta vähemmän tarkka, jolloin tarkempi tapa mitata suorittimen tehon puutetta on System\Processor Queue Length -laskurin kautta. |
| Muisti\Käytettävissä olevat MBytes | Varattavissa olevan fyysisen muistin (RAM) määrä. | Arvon on oltava yli 512 | Tarkista, vaatiiko tietty prosessi paljon enemmän fyysistä muistia kuin pitäisi. Lisää fyysisen muistin määrää. Vähennä palvelinkohtaista liikennettä. |
| LogicalDisk(*)\Avg. Disk sec\Read | Keskimääräinen viive tietojen lukemiseen levyltä (valitse esiintymäksi tietokanta-asema). | Tulee olla alle 10 millisekuntia | Tarkista, onko olemassa tietty prosessi, joka käyttää tietokanta-asemaa enemmän kuin pitäisi. Kysy tallennustiimiltäsi tai toimittajaltasi, voiko tämä asema toimittaa nykyisen kuormituksen niin, että sen viive on alle 10 ms. Nykyinen kuormitus voidaan määrittää käyttämällä levyn käyttölaskureita. |
| LogicalDisk(*)\Avg. Disk sec\Write | Keskimääräinen viive tietojen levylle kirjoittamisessa (valitse esiintymäksi tietokanta-asema). | Tulee olla alle 10 millisekuntia | Tarkista, onko olemassa tietty prosessi, joka käyttää tietokanta-asemaa enemmän kuin pitäisi. Kysy tallennustiimiltäsi\toimittajaltasi, voiko tämä asema toimittaa nykyisen kuormituksen, kun sen viive on alle 10 ms. Nykyinen kuormitus voidaan määrittää käyttämällä levyn käyttölaskureita. |
| \LogicalDisk(*)\Disk Reads\sec | Levyn lukutoimintojen suoritusnopeus. | Ei raja-arvoa | Levyn käyttölaskurit voivat lisätä merkityksellisiä tietoja tallennusviiveen vianmäärityksessä. |
| \LogicalDisk(*)\Disk Read Bytes\sec | Levyltä luettavien tavujen määrä sekunnissa. | Ei raja-arvoa | Levyn käyttölaskurit voivat lisätä merkityksellisiä tietoja tallennusviiveen vianmäärityksessä. |
| \LogicalDisk*\Disk Writes\sec | Levylle kirjoitettavan toiminnon suoritusnopeus. | Ei raja-arvoa | Levyn käyttölaskurit (voivat lisätä merkityksellisiä tietoja tallennusviiveen vianmäärityksessä) |
| \LogicalDisk(*)\Disk Write Bytes\sec | Levylle kirjoitettavien tavujen määrä sekunnissa. | Ei raja-arvoa | Levyn käyttölaskurit voivat lisätä merkityksellisiä tietoja tallennusviiveen vianmäärityksessä. |