Résolution des problèmes d’ATA à l’aide des compteurs de performances
S’applique à : Advanced Threat Analytics version 1.9
Les compteurs de performances ATA fournissent des informations sur les performances de chaque composant d’ATA. Les composants dans ATA traitent les données de manière séquentielle, de sorte qu’en cas de problème, cela peut entraîner une suppression partielle du trafic quelque part le long de la chaîne de composants. Pour résoudre le problème, vous devez déterminer quel composant est en cours d’ajustement et résoudre le problème au début de la chaîne. Utilisez les données trouvées dans les compteurs de performances pour comprendre le fonctionnement de chaque composant. Reportez-vous à Architecture ATA pour comprendre le flux des composants ATA internes.
Processus de composant ATA :
Lorsqu’un composant atteint sa taille maximale, il empêche le composant précédent d’envoyer d’autres entités à celui-ci.
Ensuite, finalement, le composant précédent commence à augmenter sa propre taille jusqu’à ce qu’il bloque le composant avant lui, d’envoyer d’autres entités.
Cela se produit jusqu’au composant NetworkListener, qui supprime le trafic lorsqu’il ne peut plus transférer d’entités.
Récupération des fichiers de l’Analyseur de performances à des fins de résolution des problèmes
Pour récupérer les fichiers de l’analyseur de performances (BLG) à partir des différents composants ATA :
- Ouvrez perfmon.
- Arrêtez le jeu de collecteurs de données nommé : Passerelle Microsoft ATA ou Centre Microsoft ATA.
- Accédez au dossier du jeu de collecteurs de données (par défaut, il s’agit de « C :\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets » ou « C :\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets »).
- Copiez le fichier BLG qui a été modifié le plus récemment.
- Redémarrez le jeu de collecteurs de données nommé : Passerelle Microsoft ATA ou Centre Microsoft ATA.
Compteurs de performances de la passerelle ATA
Dans cette section, chaque référence à la passerelle ATA fait également référence à la passerelle légère ATA.
Vous pouvez observer les status de performances en temps réel de la passerelle ATA en ajoutant les compteurs de performances de la passerelle ATA. Pour ce faire, ouvrez Analyseur de performances et ajoutez tous les compteurs pour la passerelle ATA. Le nom de l’objet de compteur de performances est : Passerelle Microsoft ATA.
Voici la liste des compteurs de passerelle ATA main à prendre en compte :
| Compteur | Description | Seuil | Résolution des problèmes |
|---|---|---|---|
| Passerelle Microsoft ATA\NetworkListener PEF Messages analysés\sec | Quantité de trafic traité par la passerelle ATA toutes les secondes. | Aucun seuil | Vous aide à comprendre la quantité de trafic analysée par la passerelle ATA. |
| Événements supprimés PEF NetworkListener\Sec | Quantité de trafic supprimé par la passerelle ATA toutes les secondes. | Ce nombre doit être égal à zéro tout le temps (de rares rafales courtes de gouttes sont acceptables). | Vérifiez s’il existe un composant qui a atteint sa taille maximale et qui bloque les composants précédents jusqu’au NetworkListener. Reportez-vous au processus de composant ATA ci-dessus. Vérifiez qu’il n’y a aucun problème avec le processeur ou la mémoire. |
| Passerelle Microsoft ATA\NetworkListener Événements ETW supprimés\Sec | Quantité de trafic supprimé par la passerelle ATA toutes les secondes. | Ce nombre doit être égal à zéro tout le temps (de rares rafales courtes de gouttes sont acceptables). | Vérifiez s’il existe un composant qui a atteint sa taille maximale et qui bloque les composants précédents jusqu’au NetworkListener. Reportez-vous au processus de composant ATA ci-dessus. Vérifiez qu’il n’y a aucun problème avec le processeur ou la mémoire. |
| Passerelle Microsoft ATA\Données de message NetworkActivityTranslator # Taille de bloc | Quantité de trafic mis en file d’attente pour la traduction en activités réseau (NA). | Doit être inférieur au maximum-1 (maximum par défaut : 100 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et qui bloque les composants précédents jusqu’au NetworkListener. Reportez-vous au processus de composant ATA ci-dessus. Vérifiez qu’il n’y a aucun problème avec le processeur ou la mémoire. |
| Passerelle Microsoft ATA\Taille du bloc d’activité EntityResolver | Nombre d’activités réseau (NA) mises en file d’attente pour résolution. | Doit être inférieur au maximum-1 (maximum par défaut : 10 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et qui bloque les composants précédents jusqu’au NetworkListener. Reportez-vous au processus de composant ATA ci-dessus. Vérifiez qu’il n’y a aucun problème avec le processeur ou la mémoire. |
| Microsoft ATA Gateway\EntitySender Entity Batch Block Size | Quantité d’activités réseau (NAs) mises en file d’attente pour être envoyées au centre ATA. | Doit être inférieur au maximum-1 (maximum par défaut : 1 000 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et qui bloque les composants précédents jusqu’au NetworkListener. Reportez-vous au processus de composant ATA ci-dessus. Vérifiez qu’il n’y a aucun problème avec le processeur ou la mémoire. |
| Microsoft ATA Gateway\EntitySender Batch Send Time | Temps nécessaire pour envoyer le dernier lot. | Doit être inférieur à 1000 millisecondes la plupart du temps | Vérifiez s’il existe des problèmes de mise en réseau entre la passerelle ATA et le centre ATA. |
Remarque
- Les compteurs chronotés sont en millisecondes.
- Il est parfois plus pratique de surveiller la liste complète des compteurs à l’aide du type de graphe Rapport (exemple : surveillance en temps réel de tous les compteurs)
Compteurs de performances de passerelle légère ATA
Les compteurs de performances peuvent être utilisés pour la gestion des quotas dans la passerelle légère, afin de vous assurer qu’ATA ne draine pas trop de ressources à partir des contrôleurs de domaine sur lesquels il est installé. Pour mesurer les limitations de ressources appliquées par ATA sur la passerelle légère, ajoutez ces compteurs.
Pour ce faire, ouvrez Analyseur de performances et ajoutez tous les compteurs pour la passerelle légère ATA. Les noms des objets de compteur de performances sont : Microsoft ATA Gateway et Microsoft ATA Gateway Updater.
| Compteur | Description | Seuil | Résolution des problèmes |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager : % maximal du temps processeur | Durée maximale du processeur (en pourcentage) que le processus de passerelle légère peut consommer. | Aucun seuil. | Il s’agit de la limitation qui protège les ressources du contrôleur de domaine contre l’utilisation par la passerelle légère ATA. Si vous constatez que le processus atteint souvent la limite maximale sur une période donnée (le processus atteint la limite, puis commence à supprimer le trafic), cela signifie que vous devez ajouter des ressources au serveur exécutant le contrôleur de domaine. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Commit Memory Max Size | Quantité maximale de mémoire validée (en octets) que le processus de passerelle légère peut consommer. | Aucun seuil. | Il s’agit de la limitation qui protège les ressources du contrôleur de domaine contre l’utilisation par la passerelle légère ATA. Si vous voyez que le processus atteint souvent la limite maximale sur une période donnée (le processus atteint la limite, puis commence à supprimer le trafic), cela signifie que vous devez ajouter des ressources supplémentaires au serveur exécutant le contrôleur de domaine. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Working Set Limit Size | Quantité maximale de mémoire physique (en octets) que le processus de passerelle légère peut consommer. | Aucun seuil. | Il s’agit de la limitation qui protège les ressources du contrôleur de domaine contre l’utilisation par la passerelle légère ATA. Si vous voyez que le processus atteint souvent la limite maximale sur une période donnée (le processus atteint la limite, puis commence à supprimer le trafic), cela signifie que vous devez ajouter des ressources supplémentaires au serveur exécutant le contrôleur de domaine. |
Pour voir votre consommation réelle, reportez-vous aux compteurs suivants :
| Compteur | Description | Seuil | Résolution des problèmes |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Temps processeur | Temps processeur (en pourcentage) que le processus de passerelle légère consomme réellement. | Aucun seuil. | Comparez les résultats de ce compteur à la limite trouvée dans GatewayUpdaterResourceManager Durée maximale du processeur %. Si vous constatez que le processus atteint souvent la limite maximale sur une période donnée (le processus atteint la limite, puis commence à supprimer le trafic), cela signifie que vous devez dédier davantage de ressources à la passerelle légère. |
| Process(Microsoft.Tri.Gateway)\Octets privés | Quantité de mémoire validée (en octets) que le processus de passerelle légère consomme réellement. | Aucun seuil. | Comparez les résultats de ce compteur à la limite trouvée dans GatewayUpdaterResourceManager Commit Memory Max Size. Si vous constatez que le processus atteint souvent la limite maximale sur une période donnée (le processus atteint la limite, puis commence à supprimer le trafic), cela signifie que vous devez dédier davantage de ressources à la passerelle légère. |
| Process(Microsoft.Tri.Gateway)\Working Set | Quantité de mémoire physique (en octets) que le processus de passerelle légère consomme réellement. | Aucun seuil. | Comparez les résultats de ce compteur à la limite trouvée dans GatewayUpdaterResourceManager Working Set Limit Size. Si vous constatez que le processus atteint souvent la limite maximale sur une période donnée (le processus atteint la limite, puis commence à supprimer le trafic), cela signifie que vous devez dédier davantage de ressources à la passerelle légère. |
Compteurs de performances du centre ATA
Vous pouvez observer les status de performances en temps réel du centre ATA en ajoutant les compteurs de performances du centre ATA.
Pour ce faire, ouvrez Analyseur de performances et ajoutez tous les compteurs pour le centre ATA. Le nom de l’objet de compteur de performances est : Centre Microsoft ATA.
Voici la liste des compteurs du centre ATA main à prendre en compte :
| Compteur | Description | Seuil | Résolution des problèmes |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | Nombre de lots d’entités mis en file d’attente par le centre ATA. | Doit être inférieur au maximum-1 (maximum par défaut : 10 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et qui bloque les composants précédents jusqu’au NetworkListener. Reportez-vous au processus de composant ATA précédent. Vérifiez qu’il n’y a aucun problème avec le processeur ou la mémoire. |
| Microsoft ATA Center\NetworkActivityProcessor Network Activity Block Size | Nombre d’activités réseau (NAs) mises en file d’attente pour traitement. | Doit être inférieur au maximum-1 (maximum par défaut : 50 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et qui bloque les composants précédents jusqu’au NetworkListener. Reportez-vous au processus de composant ATA précédent. Vérifiez qu’il n’y a aucun problème avec le processeur ou la mémoire. |
| Microsoft ATA Center\EntityProfiler Network Activity Block Size | Nombre d’activités réseau (NA) mises en file d’attente pour le profilage. | Doit être inférieur au maximum-1 (maximum par défaut : 100 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et qui bloque les composants précédents jusqu’au NetworkListener. Reportez-vous au processus de composant ATA précédent. Vérifiez qu’il n’y a aucun problème avec le processeur ou la mémoire. |
| Centre Microsoft ATA\Base de données * Taille du bloc | Nombre d’activités réseau, d’un type spécifique, mises en file d’attente pour être écrites dans la base de données. | Doit être inférieur au maximum-1 (maximum par défaut : 50 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et qui bloque les composants précédents jusqu’au NetworkListener. Reportez-vous au processus de composant ATA précédent. Vérifiez qu’il n’y a aucun problème avec le processeur ou la mémoire. |
Remarque
- Les compteurs chronotés sont en millisecondes
- Il est parfois plus pratique de surveiller la liste complète des compteurs à l’aide du type de graphe pour Rapport (par exemple , analyse en temps réel de tous les compteurs).
Compteurs du système d’exploitation
Le tableau suivant répertorie les compteurs main système d’exploitation à prendre en compte :
| Compteur | Description | Seuil | Résolution des problèmes |
|---|---|---|---|
| Processeur(_Total)% temps processeur | Pourcentage de temps écoulé que le processeur consacre à l’exécution d’un thread non inactif. | Moins de 80 % en moyenne | Vérifiez s’il existe un processus spécifique qui prend beaucoup plus de temps processeur qu’il ne le devrait. Ajoutez d’autres processeurs. Réduisez la quantité de trafic par serveur. Le compteur « Processeur(_Total)% temps processeur » peut être moins précis sur les serveurs virtuels, auquel cas la façon la plus précise de mesurer le manque de puissance du processeur est d’utiliser le compteur « Longueur de file d’attente du système\processeur ». |
| Système\Commutateurs de contexte\s | Vitesse combinée à laquelle tous les processeurs sont basculés d’un thread à l’autre. | Moins de 5 000*cœurs (cœurs physiques) | Vérifiez s’il existe un processus spécifique qui prend beaucoup plus de temps processeur qu’il ne le devrait. Ajoutez d’autres processeurs. Réduisez la quantité de trafic par serveur. Le compteur « Processeur(_Total)% temps processeur » peut être moins précis sur les serveurs virtuels, auquel cas la façon la plus précise de mesurer le manque de puissance du processeur est d’utiliser le compteur « Longueur de file d’attente du système\processeur ». |
| System\Processor Queue Length | Nombre de threads prêts à être exécutés et en attente de planification. | Moins de cinq*cœurs (cœurs physiques) | Vérifiez s’il existe un processus spécifique qui prend beaucoup plus de temps processeur qu’il ne le devrait. Ajoutez d’autres processeurs. Réduisez la quantité de trafic par serveur. Le compteur « Processeur(_Total)% temps processeur » peut être moins précis sur les serveurs virtuels, auquel cas la façon la plus précise de mesurer le manque de puissance du processeur est d’utiliser le compteur « Longueur de file d’attente du système\processeur ». |
| Mémoire\Octets disponibles | Quantité de mémoire physique (RAM) disponible pour l’allocation. | Doit être supérieur à 512 | Vérifiez s’il existe un processus spécifique qui prend beaucoup plus de mémoire physique qu’il ne le devrait. Augmentez la quantité de mémoire physique. Réduisez la quantité de trafic par serveur. |
| LogicalDisk(*)\Avg. Disk sec\Read | Latence moyenne pour la lecture des données à partir du disque (vous devez choisir le lecteur de base de données comme instance). | Doit être inférieur à 10 millisecondes | Vérifiez s’il existe un processus spécifique qui utilise le lecteur de base de données plus qu’il ne le devrait. Consultez votre équipe/fournisseur de stockage si ce lecteur peut fournir la charge de travail actuelle tout en ayant moins de 10 ms de latence. La charge de travail actuelle peut être déterminée à l’aide des compteurs d’utilisation du disque. |
| LogicalDisk(*)\Avg. Disk sec\Write | Latence moyenne pour l’écriture de données sur le disque (vous devez choisir le lecteur de base de données comme instance). | Doit être inférieur à 10 millisecondes | Vérifiez s’il existe un processus spécifique qui utilise le lecteur de base de données plus qu’il ne le devrait. Consultez votre équipe de stockage/fournisseur si ce lecteur peut fournir la charge de travail actuelle tout en ayant moins de 10 ms de latence. La charge de travail actuelle peut être déterminée à l’aide des compteurs d’utilisation du disque. |
| \LogicalDisk(*)\Disk Reads\sec | Taux d’exécution d’opérations de lecture sur le disque. | Aucun seuil | Les compteurs d’utilisation du disque peuvent ajouter des insights lors de la résolution des problèmes de latence du stockage. |
| \LogicalDisk(*)\Disk Read Bytes\sec | Nombre d’octets par seconde qui sont lus à partir du disque. | Aucun seuil | Les compteurs d’utilisation du disque peuvent ajouter des insights lors de la résolution des problèmes de latence du stockage. |
| \LogicalDisk*\Écritures sur disque\sec | Taux d’exécution d’opérations d’écriture sur le disque. | Aucun seuil | Compteurs d’utilisation du disque (peuvent ajouter des insights lors de la résolution des problèmes de latence du stockage) |
| \LogicalDisk(*)\Disk Write Bytes\sec | Nombre d’octets par seconde en cours d’écriture sur le disque. | Aucun seuil | Les compteurs d’utilisation du disque peuvent ajouter des insights lors de la résolution des problèmes de latence du stockage. |