Risoluzione dei problemi di ATA tramite i contatori delle prestazioni
Si applica a: Advanced Threat Analytics versione 1.9
I contatori delle prestazioni ATA forniscono informazioni dettagliate sulle prestazioni di ogni componente di ATA. I componenti in ATA elaborano i dati in modo sequenziale, in modo che quando si verifica un problema, potrebbe causare l'eliminazione parziale del traffico da qualche parte lungo la catena di componenti. Per risolvere il problema, è necessario capire quale componente esegue il backfiring e risolvere il problema all'inizio della catena. Usare i dati disponibili nei contatori delle prestazioni per comprendere il funzionamento di ogni componente. Fare riferimento all'architettura ATA per comprendere il flusso dei componenti ATA interni.
Processo del componente ATA:
Quando un componente raggiunge le dimensioni massime, blocca l'invio di più entità al componente precedente.
Quindi, alla fine il componente precedente inizierà ad aumentare le proprie dimensioni fino a quando non blocca il componente prima di esso, dall'invio di più entità.
Ciò si verifica fino al componente NetworkListener, che elimina il traffico quando non può più inoltrare entità.
Recupero di file di monitoraggio delle prestazioni per la risoluzione dei problemi
Per recuperare i file di monitoraggio delle prestazioni (BLG) dai vari componenti ATA:
- Aprire perfmon.
- Arrestare il set di agenti di raccolta dati denominato : Microsoft ATA Gateway o Microsoft ATA Center.
- Passare alla cartella set dell'agente di raccolta dati (per impostazione predefinita, "C:\Programmi\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" o "C:\Programmi\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Copiare il file BLG modificato più di recente.
- Riavviare il set di agenti di raccolta dati denominato : Microsoft ATA Gateway o Microsoft ATA Center.
Contatori delle prestazioni del gateway ATA
In questa sezione, ogni riferimento al gateway ATA fa riferimento anche al gateway ATA Lightweight.
È possibile osservare lo stato delle prestazioni in tempo reale del gateway ATA aggiungendo i contatori delle prestazioni del gateway ATA. Questa operazione viene eseguita aprendo Monitor prestazioni e aggiungendo tutti i contatori per il gateway ATA. Il nome dell'oggetto contatore delle prestazioni è: Gateway Microsoft ATA.
Ecco l'elenco dei principali contatori del gateway ATA a cui prestare attenzione:
| Contatore | Descrizione | Soglia | Risoluzione dei problemi |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF Parsed Messages\Sec | Quantità di traffico elaborato dal gateway ATA ogni secondo. | Nessuna soglia | Consente di comprendere la quantità di traffico analizzato dal gateway ATA. |
| Eventi eliminati di NetworkListener PEF\Sec | La quantità di traffico che viene eliminata dal gateway ATA ogni secondo. | Questo numero deve essere sempre pari a zero (sono accettabili rari picchi brevi di gocce). | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo del componente ATA precedente. Verificare che non vi siano problemi con la CPU o la memoria. |
| Microsoft ATA Gateway\NetworkListener ETW Dropped Events\Sec | La quantità di traffico che viene eliminata dal gateway ATA ogni secondo. | Questo numero deve essere sempre pari a zero (sono accettabili rari picchi brevi di gocce). | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo del componente ATA precedente. Verificare che non vi siano problemi con la CPU o la memoria. |
| Microsoft ATA Gateway\NetworkActivityTranslator Message Data # Block Size | Quantità di traffico accodato per la conversione in attività di rete ( NAs). | Deve essere minore del massimo 1 (valore massimo predefinito: 100.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo del componente ATA precedente. Verificare che non vi siano problemi con la CPU o la memoria. |
| Dimensioni del blocco di attività Microsoft ATA Gateway\EntityResolver | Numero di attività di rete in coda per la risoluzione. | Deve essere minore del massimo 1 (valore massimo predefinito: 10.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo del componente ATA precedente. Verificare che non vi siano problemi con la CPU o la memoria. |
| Dimensioni del blocco del batch di entità Microsoft ATA Gateway\EntitySender | Quantità di attività di rete in coda da inviare al Centro ATA. | Deve essere minore del massimo 1 (valore massimo predefinito: 1.000.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo del componente ATA precedente. Verificare che non vi siano problemi con la CPU o la memoria. |
| Microsoft ATA Gateway\EntitySender Batch Send Time | Quantità di tempo necessario per inviare l'ultimo batch. | Deve essere inferiore a 1000 millisecondi per la maggior parte del tempo | Verificare se sono presenti problemi di rete tra il gateway ATA e il Centro ATA. |
Nota
- I contatori a tempo sono in millisecondi.
- A volte è più pratico monitorare l'elenco completo dei contatori usando il tipo di grafico Report (ad esempio, monitoraggio in tempo reale di tutti i contatori)
Contatori delle prestazioni del gateway ATA Lightweight
I contatori delle prestazioni possono essere usati per la gestione delle quote nel gateway Lightweight per assicurarsi che ATA non prosciuga troppe risorse dai controller di dominio in cui è installato. Per misurare le limitazioni delle risorse applicate da ATA nel gateway Lightweight, aggiungere questi contatori.
Questa operazione viene eseguita aprendo Monitor prestazioni e aggiungendo tutti i contatori per il gateway ATA Lightweight. I nomi degli oggetti contatore delle prestazioni sono : Microsoft ATA Gateway e Microsoft ATA Gateway Updater.
| Contatore | Descrizione | Soglia | Risoluzione dei problemi |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU Time Max % | La quantità massima di tempo della CPU (in percentuale) che il processo del gateway leggero può utilizzare. | Nessuna soglia. | Questa è la limitazione che protegge le risorse del controller di dominio dall'utilizzo da parte del gateway ATA Lightweight. Se si nota che il processo raggiunge spesso il limite massimo in un periodo di tempo (il processo raggiunge il limite e quindi inizia a eliminare il traffico), significa che è necessario aggiungere altre risorse al server che esegue il controller di dominio. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Commit Memory Max Size | Quantità massima di memoria di cui è stato eseguito il commit (in byte) utilizzabile dal processo del gateway leggero. | Nessuna soglia. | Questa è la limitazione che protegge le risorse del controller di dominio dall'utilizzo da parte del gateway ATA Lightweight. Se si nota che il processo raggiunge spesso il limite massimo in un periodo di tempo (il processo raggiunge il limite e quindi inizia a eliminare il traffico), significa che è necessario aggiungere altre risorse al server che esegue il controller di dominio. |
| Dimensioni limite working set di Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager | Quantità massima di memoria fisica (in byte) utilizzabile dal processo del gateway leggero. | Nessuna soglia. | Questa è la limitazione che protegge le risorse del controller di dominio dall'utilizzo da parte del gateway ATA Lightweight. Se si nota che il processo raggiunge spesso il limite massimo in un periodo di tempo (il processo raggiunge il limite e quindi inizia a eliminare il traffico), significa che è necessario aggiungere altre risorse al server che esegue il controller di dominio. |
Per visualizzare il consumo effettivo, fare riferimento ai contatori seguenti:
| Contatore | Descrizione | Soglia | Risoluzione dei problemi |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Processor Time | Quantità di tempo della CPU (in percentuale) che il processo del gateway leggero sta effettivamente consumando. | Nessuna soglia. | Confrontare i risultati di questo contatore con il limite trovato in GatewayUpdaterResourceManager CPU Time Max %. Se si nota che il processo raggiunge spesso il limite massimo in un periodo di tempo (il processo raggiunge il limite e quindi inizia a eliminare il traffico), significa che è necessario dedicare più risorse al gateway lightweight. |
| Process(Microsoft.Tri.Gateway)\Private Bytes | Quantità di memoria di cui è stato eseguito il commit (in byte) effettivamente usata dal processo del gateway lightweight. | Nessuna soglia. | Confrontare i risultati di questo contatore con il limite trovato in GatewayUpdaterResourceManager Commit Memory Max Size.Compare the results of this counter to the limit found in GatewayUpdaterResourceManager Commit Memory Max Size. Se si nota che il processo raggiunge spesso il limite massimo in un periodo di tempo (il processo raggiunge il limite e quindi inizia a eliminare il traffico), significa che è necessario dedicare più risorse al gateway lightweight. |
| Process(Microsoft.Tri.Gateway)\Working Set | Quantità di memoria fisica (in byte) effettivamente usata dal processo del gateway lightweight. | Nessuna soglia. | Confrontare i risultati di questo contatore con il limite trovato in GatewayUpdaterResourceManager Working Set Limit Size.Compare the results of this counter to the limit found in GatewayUpdaterResourceManager Working Set Limit Size. Se si nota che il processo raggiunge spesso il limite massimo in un periodo di tempo (il processo raggiunge il limite e quindi inizia a eliminare il traffico), significa che è necessario dedicare più risorse al gateway lightweight. |
Contatori delle prestazioni di ATA Center
È possibile osservare lo stato delle prestazioni in tempo reale di ATA Center aggiungendo i contatori delle prestazioni di ATA Center.
Questa operazione viene eseguita aprendo Monitor prestazioni e aggiungendo tutti i contatori per il centro ATA. Il nome dell'oggetto contatore delle prestazioni è: Microsoft ATA Center.
Ecco l'elenco dei principali contatori di ATA Center a cui prestare attenzione:
| Contatore | Descrizione | Soglia | Risoluzione dei problemi |
|---|---|---|---|
| Dimensioni del blocco del batch di entità Microsoft ATA Center\EntityReceiver | Numero di batch di entità accodati da ATA Center. | Deve essere minore del massimo 1 (valore massimo predefinito: 10.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo del componente ATA precedente. Verificare che non vi siano problemi con la CPU o la memoria. |
| Dimensioni del blocco attività di rete Microsoft ATA Center\NetworkActivityProcessor | Numero di attività di rete in coda per l'elaborazione. | Deve essere minore del massimo 1 (valore massimo predefinito: 50.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo del componente ATA precedente. Verificare che non vi siano problemi con la CPU o la memoria. |
| Dimensioni del blocco attività di rete Microsoft ATA Center\EntityProfiler | Numero di attività di rete in coda per la profilatura. | Deve essere minore del massimo 1 (valore massimo predefinito: 100.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo del componente ATA precedente. Verificare che non vi siano problemi con la CPU o la memoria. |
| Microsoft ATA Center\Database * Dimensioni blocco | Numero di attività di rete, di un tipo specifico, in coda da scrivere nel database. | Deve essere minore del massimo 1 (valore massimo predefinito: 50.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo del componente ATA precedente. Verificare che non vi siano problemi con la CPU o la memoria. |
Nota
- I contatori a tempo sono in millisecondi
- A volte è più pratico monitorare l'elenco completo dei contatori usando il tipo di grafico per Report (ad esempio, il monitoraggio in tempo reale di tutti i contatori).
Contatori del sistema operativo
Nella tabella seguente sono elencati i principali contatori del sistema operativo a cui prestare attenzione:
| Contatore | Descrizione | Soglia | Risoluzione dei problemi |
|---|---|---|---|
| Processore(_Total)% tempo processore | Percentuale di tempo trascorso trascorso dal processore per eseguire un thread non inattivo. | Meno dell'80% in media | Controllare se è presente un processo specifico che richiede molto più tempo del processore di quanto dovrebbe. Aggiungere altri processori. Ridurre la quantità di traffico per server. Il contatore "Processore(_Total)% Tempo processore" potrebbe essere meno accurato nei server virtuali, nel qual caso il modo più accurato per misurare la mancanza di potenza del processore è tramite il contatore "System\Processor Queue Length". |
| System\Context Switches\sec | Frequenza combinata con cui tutti i processori vengono passati da un thread a un altro. | Meno di 5000*core (core fisici) | Controllare se è presente un processo specifico che richiede molto più tempo del processore di quanto dovrebbe. Aggiungere altri processori. Ridurre la quantità di traffico per server. Il contatore "Processore(_Total)% Tempo processore" potrebbe essere meno accurato nei server virtuali, nel qual caso il modo più accurato per misurare la mancanza di potenza del processore è tramite il contatore "System\Processor Queue Length". |
| Lunghezza coda processore\sistema | Numero di thread pronti per l'esecuzione e in attesa di essere pianificati. | Meno di cinque*core (core fisici) | Controllare se è presente un processo specifico che richiede molto più tempo del processore di quanto dovrebbe. Aggiungere altri processori. Ridurre la quantità di traffico per server. Il contatore "Processore(_Total)% Tempo processore" potrebbe essere meno accurato nei server virtuali, nel qual caso il modo più accurato per misurare la mancanza di potenza del processore è tramite il contatore "System\Processor Queue Length". |
| Memoria\MByte disponibili | Quantità di memoria fisica (RAM) disponibile per l'allocazione. | Deve essere maggiore di 512 | Controllare se è presente un processo specifico che richiede molta più memoria fisica di quanto dovrebbe. Aumentare la quantità di memoria fisica. Ridurre la quantità di traffico per server. |
| LogicalDisk(*)\Avg. Disk sec\Read | La latenza media per la lettura dei dati dal disco (è consigliabile scegliere l'unità di database come istanza). | Deve essere inferiore a 10 millisecondi | Controllare se è presente un processo specifico che utilizza l'unità di database più di quanto dovrebbe. Consultare il team o il fornitore di archiviazione se questa unità è in grado di fornire il carico di lavoro corrente con meno di 10 ms di latenza. Il carico di lavoro corrente può essere determinato usando i contatori di utilizzo del disco. |
| LogicalDisk(*)\Avg. Disk sec\Write | La latenza media per la scrittura di dati nel disco (è consigliabile scegliere l'unità di database come istanza). | Deve essere inferiore a 10 millisecondi | Controllare se è presente un processo specifico che utilizza l'unità di database più di quanto dovrebbe. Consultare il team di archiviazione\fornitore se questa unità è in grado di distribuire il carico di lavoro corrente con meno di 10 ms di latenza. Il carico di lavoro corrente può essere determinato usando i contatori di utilizzo del disco. |
| \LogicalDisk(*)\Disk Reads\sec | Frequenza di esecuzione di operazioni di lettura sul disco. | Nessuna soglia | I contatori di utilizzo del disco possono aggiungere informazioni dettagliate durante la risoluzione dei problemi di latenza di archiviazione. |
| \LogicalDisk(*)\Disk Read Bytes\sec | Numero di byte al secondo letti dal disco. | Nessuna soglia | I contatori di utilizzo del disco possono aggiungere informazioni dettagliate durante la risoluzione dei problemi di latenza di archiviazione. |
| \LogicalDisk*\Disk Writes\sec | Frequenza di esecuzione di operazioni di scrittura sul disco. | Nessuna soglia | Contatori dell'utilizzo del disco (possono aggiungere informazioni dettagliate durante la risoluzione dei problemi di latenza di archiviazione) |
| \LogicalDisk(*)\Disk Write Bytes\sec | Numero di byte al secondo che vengono scritti nel disco. | Nessuna soglia | I contatori di utilizzo del disco possono aggiungere informazioni dettagliate durante la risoluzione dei problemi di latenza di archiviazione. |