パフォーマンス カウンターを使用した ATA のトラブルシューティング
適用対象: Advanced Threat Analytics バージョン 1.9
ATA パフォーマンス カウンターは、ATA の各コンポーネントのパフォーマンスに関する分析情報を提供します。 ATA のコンポーネントはデータを順番に処理するため、問題が発生すると、コンポーネントのチェーンに沿ってトラフィックが部分的にドロップされる可能性があります。 問題を解決するには、どのコンポーネントがバックフィリングされているかを把握し、チェーンの先頭で問題を解決する必要があります。 パフォーマンス カウンターにあるデータを使用して、各コンポーネントがどのように機能しているかを理解します。 内部 ATA コンポーネントのフローについては、 ATA アーキテクチャ を参照してください。
ATA コンポーネント プロセス:
コンポーネントは、その最大サイズに達すると、前のコンポーネントが追加のエンティティを送信するのをブロックします。
その後、最終的に、前のコンポーネントは、より多くのエンティティを送信する前にコンポーネントをブロックするまで 、独自の サイズを増やし始めます。
これは NetworkListener コンポーネントに至る途中で発生します。これにより、エンティティを転送できなくなったときにトラフィックがドロップされます。
トラブルシューティングのためのパフォーマンス モニター ファイルの取得
さまざまな ATA コンポーネントからパフォーマンス モニター ファイル (BLG) を取得するには、
- perfmon を開きます。
- Microsoft ATA Gateway または Microsoft ATA Center という名前のデータ コレクター セットを停止します。
- データ コレクター セット フォルダーに移動します (既定では、これは "C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" または "C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets" です)。
- 最近変更された BLG ファイルをコピーします。
- Microsoft ATA Gateway または Microsoft ATA Center という名前のデータ コレクター セットを再起動します。
ATA ゲートウェイ のパフォーマンス カウンター
このセクションでは、ATA ゲートウェイに対するすべての参照は、ATA ライトウェイト ゲートウェイも参照します。
ATA ゲートウェイのパフォーマンス カウンターを追加することで、ATA ゲートウェイのリアルタイム のパフォーマンス状態を確認できます。 これを行うには、パフォーマンス モニターを開き、ATA ゲートウェイのすべてのカウンターを追加します。 パフォーマンス カウンター オブジェクトの名前は、 Microsoft ATA Gateway です。
注意を払うメイン ATA ゲートウェイ カウンターの一覧を次に示します。
| カウンター | 説明 | しきい値 | トラブルシューティング |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF 解析されたメッセージ\Sec | ATA ゲートウェイによって 1 秒ごとに処理されるトラフィックの量。 | しきい値なし | ATA ゲートウェイによって解析されるトラフィックの量を理解するのに役立ちます。 |
| NetworkListener PEF ドロップ イベント\Sec | ATA ゲートウェイによって 1 秒ごとにドロップされるトラフィックの量。 | この数は常に 0 にする必要があります (ドロップの短いバーストはまれです)。 | 最大サイズに達し、前のコンポーネントを NetworkListener までブロックしているコンポーネントがあるかどうかを確認します。 上記の ATA コンポーネント プロセス を参照してください。 CPU またはメモリに問題がないことを確認します。 |
| Microsoft ATA Gateway\NetworkListener ETW Drop Events\Sec | ATA ゲートウェイによって 1 秒ごとにドロップされるトラフィックの量。 | この数は常に 0 にする必要があります (ドロップの短いバーストはまれです)。 | 最大サイズに達し、前のコンポーネントを NetworkListener までブロックしているコンポーネントがあるかどうかを確認します。 上記の ATA コンポーネント プロセス を参照してください。 CPU またはメモリに問題がないことを確認します。 |
| Microsoft ATA Gateway\NetworkActivityTranslator メッセージ データ # ブロック サイズ | ネットワーク アクティビティ (NAs) への変換のためにキューに入ったトラフィックの量。 | 最大値 1 未満にする必要があります (既定の最大値: 100,000) | 最大サイズに達し、前のコンポーネントを NetworkListener までブロックしているコンポーネントがあるかどうかを確認します。 上記の ATA コンポーネント プロセス を参照してください。 CPU またはメモリに問題がないことを確認します。 |
| Microsoft ATA Gateway\EntityResolver アクティビティ ブロック サイズ | 解決のためにキューに入ったネットワーク アクティビティ (NAs) の数。 | 最大値 1 未満にする必要があります (既定の最大値: 10,000) | 最大サイズに達し、前のコンポーネントを NetworkListener までブロックしているコンポーネントがあるかどうかを確認します。 上記の ATA コンポーネント プロセス を参照してください。 CPU またはメモリに問題がないことを確認します。 |
| Microsoft ATA Gateway\EntitySender Entity Batch Block Size | ATA センターに送信するためにキューに入ったネットワーク アクティビティ (NA) の量。 | 最大値 1 未満にする必要があります (既定の最大値: 1,000,000) | 最大サイズに達し、前のコンポーネントを NetworkListener までブロックしているコンポーネントがあるかどうかを確認します。 上記の ATA コンポーネント プロセス を参照してください。 CPU またはメモリに問題がないことを確認します。 |
| Microsoft ATA Gateway\EntitySender Batch Send Time | 最後のバッチの送信にかかった時間。 | ほとんどの場合、1000 ミリ秒未満にする必要があります | ATA ゲートウェイと ATA センターの間にネットワークの問題があるかどうかを確認します。 |
注:
- 時間指定カウンターはミリ秒単位です。
- レポート グラフの種類を使用してカウンターの完全な一覧を監視する方が便利な場合があります (例: すべてのカウンターのリアルタイム監視)
ATA ライトウェイト ゲートウェイのパフォーマンス カウンター
パフォーマンス カウンターは、ライトウェイト ゲートウェイのクォータ管理に使用して、ATA がインストールされているドメイン コントローラーから多くのリソースをドレインしないようにすることができます。 ATA がライトウェイト ゲートウェイに適用するリソース制限を測定するには、これらのカウンターを追加します。
これを行うには、パフォーマンス モニターを開き、ATA ライトウェイト ゲートウェイのすべてのカウンターを追加します。 パフォーマンス カウンター オブジェクトの名前は、 Microsoft ATA Gateway と Microsoft ATA Gateway Updater です。
| カウンター | 説明 | しきい値 | トラブルシューティング |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU Time Max % | Lightweight Gateway プロセスが使用できる CPU 時間の最大量 (パーセンテージ)。 | しきい値なし。 | これは、ドメイン コントローラー リソースが ATA ライトウェイト ゲートウェイによって使用されないように保護する制限事項です。 プロセスが一定期間にわたって上限に達することが多い (プロセスが制限に達し、トラフィックのドロップを開始する) 場合は、ドメイン コントローラーを実行しているサーバーにさらにリソースを追加する必要があることを意味します。 |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager コミット メモリの最大サイズ | ライトウェイト ゲートウェイ プロセスで使用できるコミット済みメモリの最大量 (バイト単位)。 | しきい値なし。 | これは、ドメイン コントローラー リソースが ATA ライトウェイト ゲートウェイによって使用されないように保護する制限事項です。 プロセスが一定期間にわたって上限に達することが多い (プロセスが制限に達し、トラフィックのドロップを開始する) 場合は、ドメイン コントローラーを実行しているサーバーにさらにリソースを追加する必要があることを意味します。 |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager ワーキング セットの制限サイズ | Lightweight Gateway プロセスで使用できる物理メモリの最大量 (バイト単位)。 | しきい値なし。 | これは、ドメイン コントローラー リソースが ATA ライトウェイト ゲートウェイによって使用されないように保護する制限事項です。 プロセスが一定期間にわたって上限に達することが多い (プロセスが制限に達し、トラフィックのドロップを開始する) 場合は、ドメイン コントローラーを実行しているサーバーにさらにリソースを追加する必要があることを意味します。 |
実際の使用量を確認するには、次のカウンターを参照してください。
| カウンター | 説明 | しきい値 | トラブルシューティング |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Processor Time | Lightweight Gateway プロセスが実際に消費している CPU 時間 (パーセンテージ)。 | しきい値なし。 | このカウンターの結果を、GatewayUpdaterResourceManager CPU Time Max %. に含まれる制限と比較します。 プロセスが一定期間にわたって最大制限に達することが多い (プロセスが制限に達し、トラフィックのドロップを開始する) 場合は、Lightweight Gateway にさらにリソースを捧げる必要があることを意味します。 |
| Process(Microsoft.Tri.Gateway)\Private Bytes | ライトウェイト ゲートウェイ プロセスが実際に使用しているコミット済みメモリの量 (バイト単位)。 | しきい値なし。 | このカウンターの結果を、GatewayUpdaterResourceManager Commit Memory Max Size に含まれる制限と比較します。 プロセスが一定期間にわたって最大制限に達することが多い (プロセスが制限に達し、トラフィックのドロップを開始する) 場合は、Lightweight Gateway にさらにリソースを捧げる必要があることを意味します。 |
| Process(Microsoft.Tri.Gateway)\ワーキング セット | Lightweight Gateway プロセスが実際に使用している物理メモリの量 (バイト単位)。 | しきい値なし。 | このカウンターの結果を、GatewayUpdaterResourceManager 作業セットの制限サイズに関するページにある制限と比較します。 プロセスが一定期間にわたって最大制限に達することが多い (プロセスが制限に達し、トラフィックのドロップを開始する) 場合は、Lightweight Gateway にさらにリソースを捧げる必要があることを意味します。 |
ATA センターのパフォーマンス カウンター
ATA センターのパフォーマンス カウンターを追加することで、ATA センターのリアルタイムのパフォーマンス状態を確認できます。
これを行うには、パフォーマンス モニターを開き、ATA センターのすべてのカウンターを追加します。 パフォーマンス カウンター オブジェクトの名前は、 Microsoft ATA センターです。
注意を払うメイン ATA センター カウンターの一覧を次に示します。
| カウンター | 説明 | しきい値 | トラブルシューティング |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | ATA センターによってキューに登録されたエンティティ バッチの数。 | 最大値 1 未満にする必要があります (既定の最大値: 10,000) | 最大サイズに達し、前のコンポーネントを NetworkListener までブロックしているコンポーネントがあるかどうかを確認します。 前述の ATA コンポーネント プロセスを参照してください。 CPU またはメモリに問題がないことを確認します。 |
| Microsoft ATA Center\NetworkActivityProcessor ネットワーク アクティビティ ブロック サイズ | 処理のためにキューに入ったネットワーク アクティビティ (NAs) の数。 | 最大値 1 未満にする必要があります (既定の最大値: 50,000) | 最大サイズに達し、前のコンポーネントを NetworkListener までブロックしているコンポーネントがあるかどうかを確認します。 前述の ATA コンポーネント プロセスを参照してください。 CPU またはメモリに問題がないことを確認します。 |
| Microsoft ATA Center\EntityProfiler ネットワーク アクティビティ ブロック サイズ | プロファイリング用にキューに登録されたネットワーク アクティビティ (NAs) の数。 | 最大値 1 未満にする必要があります (既定の最大値: 100,000) | 最大サイズに達し、前のコンポーネントを NetworkListener までブロックしているコンポーネントがあるかどうかを確認します。 前述の ATA コンポーネント プロセスを参照してください。 CPU またはメモリに問題がないことを確認します。 |
| Microsoft ATA Center\Database * ブロック サイズ | データベースに書き込まれるキューに入った、特定の種類のネットワーク アクティビティの数。 | 最大値 1 未満にする必要があります (既定の最大値: 50,000) | 最大サイズに達し、前のコンポーネントを NetworkListener までブロックしているコンポーネントがあるかどうかを確認します。 前述の ATA コンポーネント プロセスを参照してください。 CPU またはメモリに問題がないことを確認します。 |
注:
- 時間指定カウンターはミリ秒単位です
- レポートのグラフの種類 (たとえば、すべてのカウンターのリアルタイム監視) を使用して、カウンターの完全な一覧を監視する方が便利な場合があります。
オペレーティング システム カウンター
次の表に、注意を払うメインオペレーティング システム カウンターの一覧を示します。
| カウンター | 説明 | しきい値 | トラブルシューティング |
|---|---|---|---|
| Processor(_Total)% プロセッサ時間 | プロセッサが非アイドル スレッドの実行に費やす経過時間の割合。 | 平均で 80% 未満 | 必要以上にプロセッサ時間がかかる特定のプロセスがあるかどうかを確認します。 プロセッサをさらに追加します。 サーバーあたりのトラフィック量を減らします。 "Processor(_Total)% Processor Time" カウンターは、仮想サーバーでは精度が低い場合があります。この場合、プロセッサの電力不足を測定するより正確な方法は、"System\Processor Queue Length" カウンターを使用することです。 |
| System\Context Switches\sec | すべてのプロセッサが 1 つのスレッドから別のスレッドに切り替える合計レート。 | 5000 未満*コア (物理コア) | 必要以上にプロセッサ時間がかかる特定のプロセスがあるかどうかを確認します。 プロセッサをさらに追加します。 サーバーあたりのトラフィック量を減らします。 "Processor(_Total)% Processor Time" カウンターは、仮想サーバーでは精度が低い場合があります。この場合、プロセッサの電力不足を測定するより正確な方法は、"System\Processor Queue Length" カウンターを使用することです。 |
| System\Processor Queue Length | 実行する準備が整い、スケジュールされるのを待っているスレッドの数。 | 5 つ未満*コア (物理コア) | 必要以上にプロセッサ時間がかかる特定のプロセスがあるかどうかを確認します。 プロセッサをさらに追加します。 サーバーあたりのトラフィック量を減らします。 "Processor(_Total)% Processor Time" カウンターは、仮想サーバーでは精度が低い場合があります。この場合、プロセッサの電力不足を測定するより正確な方法は、"System\Processor Queue Length" カウンターを使用することです。 |
| Memory\Available MBytes | 割り当てに使用できる物理メモリ (RAM) の量。 | 512 を超える必要があります | 必要以上に多くの物理メモリを使用している特定のプロセスがあるかどうかを確認します。 物理メモリの量を増やします。 サーバーあたりのトラフィック量を減らします。 |
| LogicalDisk(*)\Avg. Disk sec\Read | ディスクからデータを読み取るための平均待機時間 (インスタンスとしてデータベース ドライブを選択する必要があります)。 | 10 ミリ秒未満にする必要があります | データベース ドライブを必要以上に利用している特定のプロセスがあるかどうかを確認します。 このドライブが 10 ミリ秒未満の待機時間で現在のワークロードを提供できる場合は、ストレージ チーム/ベンダーに問い合わせてください。 現在のワークロードは、ディスク使用率カウンターを使用して決定できます。 |
| LogicalDisk(*)\Avg. Disk sec\Write | ディスクへのデータ書き込みの平均待機時間 (インスタンスとしてデータベース ドライブを選択する必要があります)。 | 10 ミリ秒未満にする必要があります | データベース ドライブを必要以上に利用している特定のプロセスがあるかどうかを確認します。 このドライブが 10 ミリ秒未満の待機時間で現在のワークロードを提供できる場合は、ストレージ チーム\ベンダーに問い合わせてください。 現在のワークロードは、ディスク使用率カウンターを使用して決定できます。 |
| \LogicalDisk(*)\Disk Reads\sec | ディスクに対して読み取り操作を実行する速度。 | しきい値なし | ディスク使用率カウンターは、ストレージ待機時間のトラブルシューティング時に分析情報を追加できます。 |
| \LogicalDisk(*)\Disk Read Bytes\sec | ディスクから読み取られる 1 秒あたりのバイト数。 | しきい値なし | ディスク使用率カウンターは、ストレージ待機時間のトラブルシューティング時に分析情報を追加できます。 |
| \LogicalDisk*\Disk Writes\sec | ディスクへの書き込み操作を実行する速度。 | しきい値なし | ディスク使用率カウンター (ストレージ待機時間のトラブルシューティング時に分析情報を追加できます) |
| \LogicalDisk(*)\Disk Write Bytes\sec | ディスクに書き込まれる 1 秒あたりのバイト数。 | しきい値なし | ディスク使用率カウンターは、ストレージ待機時間のトラブルシューティング時に分析情報を追加できます。 |