다음을 통해 공유


성능 카운터를 사용하여 ATA 문제 해결

적용 대상: Advanced Threat Analytics 버전 1.9

ATA 성능 카운터는 ATA의 각 구성 요소가 얼마나 잘 수행되는지에 대한 인사이트를 제공합니다. ATA의 구성 요소는 데이터를 순차적으로 처리하므로 문제가 발생하면 구성 요소 체인을 따라 어딘가에서 부분적으로 트래픽이 삭제될 수 있습니다. 문제를 해결하려면 백포일링 중인 구성 요소를 파악하고 체인의 시작 부분에서 문제를 해결해야 합니다. 성능 카운터에 있는 데이터를 사용하여 각 구성 요소가 작동하는 방식을 이해합니다. 내부 ATA 구성 요소의 흐름을 이해하려면 ATA 아키텍처 를 참조하세요.

ATA 구성 요소 프로세스:

  1. 구성 요소가 최대 크기에 도달하면 이전 구성 요소가 더 많은 엔터티를 보내지 못하도록 차단합니다.

  2. 그런 다음, 결국 이전 구성 요소는 이전 구성 요소가 더 많은 엔터티를 보내지 못하도록 차단할 때까지 자체 크기를 늘리기 시작합니다.

  3. 이렇게 하면 NetworkListener 구성 요소로 돌아가서 더 이상 엔터티를 전달할 수 없을 때 트래픽이 삭제됩니다.

문제 해결을 위해 성능 모니터 파일 검색

다양한 ATA 구성 요소에서 BLG(성능 모니터 파일)를 검색하려면 다음을 수행합니다.

  1. 퍼프먼을 엽니다.
  2. Microsoft ATA Gateway 또는 Microsoft ATA Center라는 데이터 수집기 집합을 중지합니다.
  3. 데이터 수집기 집합 폴더로 이동합니다(기본적으로 "C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" 또는 "C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
  4. 가장 최근에 수정된 BLG 파일을 복사합니다.
  5. Microsoft ATA Gateway 또는 Microsoft ATA Center라는 데이터 수집기 집합 다시 시작합니다.

ATA 게이트웨이 성능 카운터

이 섹션에서는 ATA 게이트웨이에 대한 모든 참조가 ATA 경량 게이트웨이를 참조합니다.

ATA 게이트웨이의 성능 카운터를 추가하여 ATA 게이트웨이의 실시간 성능 상태 관찰할 수 있습니다. 이 작업은 성능 모니터 열고 ATA 게이트웨이에 대한 모든 카운터를 추가하여 수행됩니다. 성능 카운터 개체의 이름은 Microsoft ATA Gateway입니다.

다음은 주의할 기본 ATA 게이트웨이 카운터 목록입니다.

카운터 설명 임계값 문제 해결
Microsoft ATA Gateway\NetworkListener PEF 구문 분석된 메시지\Sec ATA 게이트웨이에서 1초마다 처리되는 트래픽 양입니다. 임계값 없음 ATA 게이트웨이에서 구문 분석되는 트래픽의 양을 이해하는 데 도움이 됩니다.
NetworkListener PEF Droped Events\Sec ATA 게이트웨이에서 1초마다 삭제되는 트래픽 양입니다. 이 숫자는 항상 0이어야 합니다(드물게 짧은 삭제 버스트가 허용됨). 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요.

CPU 또는 메모리에 문제가 없는지 확인합니다.
Microsoft ATA Gateway\NetworkListener ETW Droped Events\Sec ATA 게이트웨이에서 1초마다 삭제되는 트래픽 양입니다. 이 숫자는 항상 0이어야 합니다(드물게 짧은 삭제 버스트가 허용됨). 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요.

CPU 또는 메모리에 문제가 없는지 확인합니다.
Microsoft ATA Gateway\NetworkActivityTranslator 메시지 데이터 # 블록 크기 NA(네트워크 활동)로 변환하기 위해 대기하는 트래픽의 양입니다. 최대 1보다 작아야 합니다(기본값 최대값: 100,000). 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요.

CPU 또는 메모리에 문제가 없는지 확인합니다.
Microsoft ATA Gateway\EntityResolver 활동 블록 크기 확인을 위해 대기 중인 NA(네트워크 활동) 수입니다. 최대 1보다 작아야 합니다(기본 최대값: 10,000). 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요.

CPU 또는 메모리에 문제가 없는지 확인합니다.
Microsoft ATA Gateway\EntitySender 엔터티 일괄 처리 블록 크기 ATA 센터로 보낼 대기하는 NA(네트워크 활동)의 양입니다. 최대 1보다 작아야 합니다(기본 최대값: 1,000,000). 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요.

CPU 또는 메모리에 문제가 없는지 확인합니다.
Microsoft ATA Gateway\EntitySender Batch Send Time 마지막 일괄 처리를 보내는 데 걸린 시간입니다. 대부분의 경우 1,000밀리초 미만이어야 합니다. ATA 게이트웨이와 ATA 센터 간에 네트워킹 문제가 있는지 확인합니다.

참고

  • 시간 제한 카운터는 밀리초 단위입니다.
  • 보고서 그래프 유형(예: 모든 카운터의 실시간 모니터링)을 사용하여 카운터의 전체 목록을 모니터링하는 것이 더 편리한 경우도 있습니다.

ATA 경량 게이트웨이 성능 카운터

성능 카운터는 경량 게이트웨이의 할당량 관리에 사용하여 ATA가 설치된 도메인 컨트롤러에서 너무 많은 리소스를 드레이닝하지 않도록 할 수 있습니다. ATA가 경량 게이트웨이에 적용하는 리소스 제한을 측정하려면 이러한 카운터를 추가합니다.

이 작업은 성능 모니터 열고 ATA 경량 게이트웨이에 대한 모든 카운터를 추가하여 수행됩니다. 성능 카운터 개체의 이름은 Microsoft ATA 게이트웨이Microsoft ATA 게이트웨이 업데이트자입니다.

카운터 설명 임계값 문제 해결
Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU 시간 최대 % 경량 게이트웨이 프로세스에서 사용할 수 있는 최대 CPU 시간(백분율)입니다. 임계값이 없습니다. 이는 도메인 컨트롤러 리소스가 ATA 경량 게이트웨이에서 사용되지 않도록 보호하는 제한 사항입니다. 프로세스가 일정 기간 동안 자주 최대 한도에 도달하는 경우(프로세스가 한도에 도달한 다음 트래픽을 삭제하기 시작) 도메인 컨트롤러를 실행하는 서버에 더 많은 리소스를 추가해야 합니다.
Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager 커밋 메모리 최대 크기 경량 게이트웨이 프로세스에서 사용할 수 있는 커밋된 메모리의 최대 크기(바이트)입니다. 임계값이 없습니다. 이는 도메인 컨트롤러 리소스가 ATA 경량 게이트웨이에서 사용되지 않도록 보호하는 제한 사항입니다. 프로세스가 일정 기간 동안 자주 최대 한도에 도달하는 경우(프로세스가 한도에 도달한 다음 트래픽을 삭제하기 시작) 도메인 컨트롤러를 실행하는 서버에 더 많은 리소스를 추가해야 합니다.
Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager 작업 집합 제한 크기 경량 게이트웨이 프로세스에서 사용할 수 있는 최대 실제 메모리 양(바이트)입니다. 임계값이 없습니다. 이는 도메인 컨트롤러 리소스가 ATA 경량 게이트웨이에서 사용되지 않도록 보호하는 제한 사항입니다. 프로세스가 일정 기간 동안 자주 최대 한도에 도달하는 경우(프로세스가 한도에 도달한 다음 트래픽을 삭제하기 시작) 도메인 컨트롤러를 실행하는 서버에 더 많은 리소스를 추가해야 합니다.

실제 사용량을 보려면 다음 카운터를 참조하세요.

카운터 설명 임계값 문제 해결
Process(Microsoft.Tri.Gateway)%Processor Time 경량 게이트웨이 프로세스가 실제로 사용하는 CPU 시간(백분율)입니다. 임계값이 없습니다. 이 카운터의 결과를 GatewayUpdaterResourceManager CPU 시간 최대 %에 있는 제한과 비교합니다. 프로세스가 일정 기간 동안 자주 최대 한도에 도달하는 경우(프로세스가 한도에 도달한 다음 트래픽을 삭제하기 시작) 더 많은 리소스를 경량 게이트웨이에 바치도록 해야 합니다.
Process(Microsoft.Tri.Gateway)\Private Bytes 경량 게이트웨이 프로세스가 실제로 사용하는 커밋된 메모리 양(바이트)입니다. 임계값이 없습니다. 이 카운터의 결과를 GatewayUpdaterResourceManager 커밋 메모리 최대 크기에 있는 제한과 비교합니다. 프로세스가 일정 기간 동안 자주 최대 한도에 도달하는 경우(프로세스가 한도에 도달한 다음 트래픽을 삭제하기 시작) 더 많은 리소스를 경량 게이트웨이에 바치도록 해야 합니다.
Process(Microsoft.Tri.Gateway)\Working Set 경량 게이트웨이 프로세스가 실제로 사용하는 실제 메모리 양(바이트)입니다. 임계값이 없습니다. 이 카운터의 결과를 GatewayUpdaterResourceManager 작업 집합 제한 크기에 있는 제한과 비교합니다. 프로세스가 일정 기간 동안 자주 최대 한도에 도달하는 경우(프로세스가 한도에 도달한 다음 트래픽을 삭제하기 시작) 더 많은 리소스를 경량 게이트웨이에 바치도록 해야 합니다.

ATA 센터 성능 카운터

ATA 센터의 성능 카운터를 추가하여 ATA 센터의 실시간 성능 상태 관찰할 수 있습니다.

이 작업은 성능 모니터 열고 ATA 센터에 대한 모든 카운터를 추가하여 수행됩니다. 성능 카운터 개체의 이름은 Microsoft ATA Center입니다.

다음은 주의할 기본 ATA 센터 카운터 목록입니다.

카운터 설명 임계값 문제 해결
Microsoft ATA Center\EntityReceiver 엔터티 일괄 처리 블록 크기 ATA 센터에서 대기 중인 엔터티 일괄 처리 수입니다. 최대 1보다 작아야 합니다(기본 최대값: 10,000). 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 앞의 ATA 구성 요소 프로세스를 참조하세요.

CPU 또는 메모리에 문제가 없는지 확인합니다.
Microsoft ATA Center\NetworkActivityProcessor 네트워크 활동 블록 크기 처리를 위해 대기 중인 NA(네트워크 활동) 수입니다. 최대 1보다 작아야 합니다(기본 최대값: 50,000). 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 앞의 ATA 구성 요소 프로세스를 참조하세요.

CPU 또는 메모리에 문제가 없는지 확인합니다.
Microsoft ATA Center\EntityProfiler 네트워크 활동 블록 크기 프로파일링을 위해 대기 중인 NA(네트워크 활동) 수입니다. 최대 1보다 작아야 합니다(기본값 최대값: 100,000). 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 앞의 ATA 구성 요소 프로세스를 참조하세요.

CPU 또는 메모리에 문제가 없는지 확인합니다.
Microsoft ATA Center\Database * 블록 크기 데이터베이스에 쓸 대기 중인 특정 유형의 네트워크 활동 수입니다. 최대 1보다 작아야 합니다(기본 최대값: 50,000). 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 앞의 ATA 구성 요소 프로세스를 참조하세요.

CPU 또는 메모리에 문제가 없는지 확인합니다.

참고

  • 시간 제한 카운터는 밀리초 단위입니다.
  • 보고서에 대한 그래프 유형(예: 모든 카운터의 실시간 모니터링)을 사용하여 카운터의 전체 목록을 모니터링하는 것이 더 편리한 경우도 있습니다.

운영 체제 카운터

다음 표에는 주의할 기본 운영 체제 카운터가 나와 있습니다.

카운터 설명 임계값 문제 해결
Processor(_Total)% 프로세서 시간 프로세서가 유휴 상태가 아닌 스레드를 실행하는 데 소요되는 경과된 시간의 백분율입니다. 평균 80% 미만 프로세서 시간이 예상보다 훨씬 많은 특정 프로세스가 있는지 확인합니다.

프로세서를 더 추가합니다.

서버당 트래픽 양을 줄입니다.

"프로세서(_Total)% 프로세서 시간" 카운터는 가상 서버에서 정확도가 낮을 수 있습니다. 이 경우 프로세서 전원 부족을 측정하는 보다 정확한 방법은 "System\Processor Queue Length" 카운터를 통해서입니다.
System\Context Switches\sec 모든 프로세서가 한 스레드에서 다른 스레드로 전환되는 결합 속도입니다. 5000*코어 미만(물리적 코어) 프로세서 시간이 예상보다 훨씬 많은 특정 프로세스가 있는지 확인합니다.

프로세서를 더 추가합니다.

서버당 트래픽 양을 줄입니다.

"프로세서(_Total)% 프로세서 시간" 카운터는 가상 서버에서 정확도가 낮을 수 있습니다. 이 경우 프로세서 전원 부족을 측정하는 보다 정확한 방법은 "System\Processor Queue Length" 카운터를 통해서입니다.
System\Processor 큐 길이 실행할 준비가 되어 있고 예약되기를 기다리는 스레드 수입니다. 5개 미만*코어(물리적 코어) 프로세서 시간이 예상보다 훨씬 많은 특정 프로세스가 있는지 확인합니다.

프로세서를 더 추가합니다.

서버당 트래픽 양을 줄입니다.

"프로세서(_Total)% 프로세서 시간" 카운터는 가상 서버에서 정확도가 낮을 수 있습니다. 이 경우 프로세서 전원 부족을 측정하는 보다 정확한 방법은 "System\Processor Queue Length" 카운터를 통해서입니다.
Memory\Available MBytes 할당에 사용할 수 있는 RAM(실제 메모리)의 양입니다. 512를 초과해야 합니다. 실제 메모리가 예상보다 훨씬 많은 특정 프로세스가 있는지 확인합니다.

실제 메모리의 양을 늘입니다.

서버당 트래픽 양을 줄입니다.
LogicalDisk(*)\Avg. Disk sec\Read 디스크에서 데이터를 읽기 위한 평균 대기 시간입니다(데이터베이스 드라이브를 instance 선택해야 합니다). 10밀리초 미만이어야 합니다. 데이터베이스 드라이브를 사용하는 특정 프로세스가 예상보다 더 많은지 확인합니다.

대기 시간이 10ms 미만인 상태에서 이 드라이브가 현재 워크로드를 제공할 수 있는 경우 스토리지 팀/공급업체에 문의하세요. 현재 워크로드는 디스크 사용률 카운터를 사용하여 확인할 수 있습니다.
LogicalDisk(*)\Avg. Disk sec\Write 디스크에 데이터를 쓰기 위한 평균 대기 시간입니다(데이터베이스 드라이브를 instance 선택해야 합니다). 10밀리초 미만이어야 합니다. 데이터베이스 드라이브를 사용하는 특정 프로세스가 예상보다 더 많은지 확인합니다.

대기 시간이 10ms 미만인 상태에서 이 드라이브가 현재 워크로드를 제공할 수 있는 경우 스토리지 팀\공급업체에 문의하세요. 현재 워크로드는 디스크 사용률 카운터를 사용하여 확인할 수 있습니다.
\LogicalDisk(*)\Disk Reads\sec 디스크에 대한 읽기 작업을 수행하는 속도입니다. 임계값 없음 디스크 사용률 카운터는 스토리지 대기 시간 문제를 해결할 때 인사이트를 추가할 수 있습니다.
\LogicalDisk(*)\Disk Read Bytes\sec 디스크에서 읽는 초당 바이트 수입니다. 임계값 없음 디스크 사용률 카운터는 스토리지 대기 시간 문제를 해결할 때 인사이트를 추가할 수 있습니다.
\LogicalDisk*\Disk Writes\sec 디스크에 쓰기 작업을 수행하는 속도입니다. 임계값 없음 디스크 사용률 카운터(스토리지 대기 시간 문제 해결 시 인사이트를 추가할 수 있습니다.)
\LogicalDisk(*)\Disk Write Bytes\sec 디스크에 기록되는 초당 바이트 수입니다. 임계값 없음 디스크 사용률 카운터는 스토리지 대기 시간 문제를 해결할 때 인사이트를 추가할 수 있습니다.

참고 항목