Feilsøke ATA ved hjelp av ytelsestellerne
Gjelder for: Advanced Threat Analytics versjon 1.9
Ytelsestellerne for ATA gir innsikt i hvor godt hver komponent i ATA yter. Komponentene i ATA behandler data sekvensielt, slik at når det oppstår et problem, kan det føre til delvis forkastet trafikk et sted langs komponentkjeden. For å løse problemet må du finne ut hvilken komponent som slår tilbake og løse problemet i begynnelsen av kjeden. Bruk dataene i ytelsestellerne til å forstå hvordan hver komponent fungerer. Se ATA-arkitektur for å forstå flyten av interne ATA-komponenter.
ATA-komponentprosess:
Når en komponent når sin maksimale størrelse, blokkerer den den forrige komponenten fra å sende flere enheter til den.
Deretter vil den forrige komponenten etter hvert begynne å øke sin egen størrelse til den blokkerer komponenten før den, fra å sende flere enheter.
Dette skjer helt tilbake til NetworkListener-komponenten, som vil slippe trafikk når den ikke lenger kan videresende enheter.
Henter ytelsesmålerfiler for feilsøking
Slik henter du ytelsesmålerfilene (BLG) fra de ulike ATA-komponentene:
- Åpne perfmon.
- Stopp datainnsamlingssettet med navnet Microsoft ATA Gateway eller Microsoft ATA Center.
- Gå til mappen for datainnsamlingssettet (som standard er dette «C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets» eller «C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets»).
- Kopier BLG-filen som sist ble endret.
- Start datainnsamlingssettet på nytt med navnet Microsoft ATA Gateway eller Microsoft ATA Center.
YTELSEstellere for ATA Gateway
I denne delen refererer hver referanse til ATA Gateway også til ATA Lightweight Gateway.
Du kan observere ytelsesstatusen i sanntid for ATA Gateway ved å legge til YTELSEstellerne for ATA Gateway. Dette gjøres ved å åpne Ytelsesmåler og legge til alle tellere for ATA Gateway. Navnet på ytelsestellerobjektet er: Microsoft ATA Gateway.
Her er listen over de viktigste ATA Gateway-tellerne å ta hensyn til:
| Disk | Beskrivelse | Terskel | Feilsøking |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF-analyserte meldinger\Sec | Mengden trafikk som behandles av ATA Gateway hvert sekund. | Ingen terskel | Hjelper deg med å forstå trafikkmengden som analyseres av ATA Gateway. |
| NetworkListener PEF droppet hendelser\Sek | Mengden trafikk som slippes av ATA Gateway hvert sekund. | Dette tallet bør være null hele tiden (sjeldne korte fall er akseptable). | Kontroller om det finnes en komponent som har nådd maksimal størrelse og blokkerer tidligere komponenter helt til NetworkListener. Se ATA-komponentprosessen ovenfor. Kontroller at det ikke er noe problem med CPU-en eller minnet. |
| Microsoft ATA Gateway\NetworkListener ETW droppet hendelser\Sec | Mengden trafikk som slippes av ATA Gateway hvert sekund. | Dette tallet bør være null hele tiden (sjeldne korte fall er akseptable). | Kontroller om det finnes en komponent som har nådd maksimal størrelse og blokkerer tidligere komponenter helt til NetworkListener. Se ATA-komponentprosessen ovenfor. Kontroller at det ikke er noe problem med CPU-en eller minnet. |
| Microsoft ATA Gateway\NetworkActivityTranslator Message Data # Block Size | Trafikkmengden som står i kø for oversettelse til nettverksaktiviteter (NAer). | Må være mindre enn maksimum 1 (standard maksimum: 100 000) | Kontroller om det finnes en komponent som har nådd maksimal størrelse og blokkerer tidligere komponenter helt til NetworkListener. Se ATA-komponentprosessen ovenfor. Kontroller at det ikke er noe problem med CPU-en eller minnet. |
| Aktivitetsblokkstørrelse for Microsoft ATA Gateway\EntityResolver | Antall nettverksaktiviteter (NAer) som står i kø for oppløsning. | Må være mindre enn maksimum 1 (standard maksimum: 10 000) | Kontroller om det finnes en komponent som har nådd maksimal størrelse og blokkerer tidligere komponenter helt til NetworkListener. Se ATA-komponentprosessen ovenfor. Kontroller at det ikke er noe problem med CPU-en eller minnet. |
| Gruppeblokkstørrelse for Microsoft ATA Gateway\EntitySender-enhet | Mengden nettverksaktiviteter (NA-er) som skal sendes til ATA-senteret i kø. | Må være mindre enn maksimum-1 (standard maksimum: 1 000 000) | Kontroller om det finnes en komponent som har nådd maksimal størrelse og blokkerer tidligere komponenter helt til NetworkListener. Se ATA-komponentprosessen ovenfor. Kontroller at det ikke er noe problem med CPU-en eller minnet. |
| Send tid for Microsoft ATA Gateway\EntitySender Batch | Hvor lang tid det tok å sende den siste bunken. | Bør være mindre enn 1000 millisekunder mesteparten av tiden | Kontroller om det er nettverksproblemer mellom ATA Gateway og ATA Center. |
Obs!
- Tidsavbrutt tellere er i millisekunder.
- Det er noen ganger mer praktisk å overvåke den fullstendige listen over tellere ved hjelp av rapportgraftypen (eksempel: sanntidsovervåking av alle tellerne)
YTELSEstellere for ATA Lightweight Gateway
Ytelsestellerne kan brukes til kvoteadministrasjon i Lightweight Gateway for å sikre at ATA ikke drenerer for mange ressurser fra domenekontrollerne den er installert på. Hvis du vil måle ressursbegrensningene som ATA håndhever på Lightweight Gateway, legger du til disse tellerne.
Dette gjøres ved å åpne Ytelsesmåler og legge til alle tellere for ATA Lightweight Gateway. Navnene på objektene for ytelsestelleren er: Microsoft ATA Gateway og Microsoft ATA Gateway Updater.
| Disk | Beskrivelse | Terskel | Feilsøking |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU Time Max % | Den maksimale mengden CPU-tid (i prosent) som Lightweight Gateway-prosessen kan bruke. | Ingen terskel. | Dette er begrensningen som beskytter domenekontrollerressursene fra å bli brukt opp av ATA Lightweight Gateway. Hvis du ser at prosessen når maksimumsgrensen ofte over en tidsperiode (prosessen når grensen og deretter begynner å slippe trafikk), betyr det at du må legge til flere ressurser på serveren som kjører domenekontrolleren.. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Commit Memory Max Size | Den maksimale mengden minne (i byte) som Lightweight Gateway-prosessen kan bruke. | Ingen terskel. | Dette er begrensningen som beskytter domenekontrollerressursene fra å bli brukt opp av ATA Lightweight Gateway. Hvis du ser at prosessen når maksimumsgrensen ofte over en tidsperiode (prosessen når grensen og deretter begynner å slippe trafikk), betyr det at du må legge til flere ressurser på serveren som kjører domenekontrolleren. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager, grensestørrelse for arbeidssett | Maksimal mengde fysisk minne (i byte) som Lightweight Gateway-prosessen kan bruke. | Ingen terskel. | Dette er begrensningen som beskytter domenekontrollerressursene fra å bli brukt opp av ATA Lightweight Gateway. Hvis du ser at prosessen når maksimumsgrensen ofte over en tidsperiode (prosessen når grensen og deretter begynner å slippe trafikk), betyr det at du må legge til flere ressurser på serveren som kjører domenekontrolleren. |
Hvis du vil se det faktiske forbruket, kan du se følgende tellere:
| Disk | Beskrivelse | Terskel | Feilsøking |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Prosessortid | Mengden CPU-tid (i prosent) som Lightweight Gateway-prosessen faktisk bruker. | Ingen terskel. | Sammenlign resultatene av denne telleren med grensen i GatewayUpdaterResourceManager CPU-tid maks%. Hvis du ser at prosessen når maksimumsgrensen ofte over en tidsperiode (prosessen når grensen og deretter begynner å slippe trafikk), betyr det at du må dedikere flere ressurser til Lightweight Gateway. |
| Process(Microsoft.Tri.Gateway)\Private byte | Mengden tildelt minne (i byte) som Lightweight Gateway-prosessen faktisk bruker. | Ingen terskel. | Sammenlign resultatene av denne telleren med grensen som finnes i GatewayUpdaterResourceManager Commit Memory Max Size. Hvis du ser at prosessen når maksimumsgrensen ofte over en tidsperiode (prosessen når grensen og deretter begynner å slippe trafikk), betyr det at du må dedikere flere ressurser til Lightweight Gateway. |
| Process(Microsoft.Tri.Gateway)\Working Set | Mengden fysisk minne (i byte) som Lightweight Gateway-prosessen faktisk bruker. | Ingen terskel. | Sammenlign resultatene av denne telleren med grensen i GatewayUpdaterResourceManager Working Set Limit Size. Hvis du ser at prosessen når maksimumsgrensen ofte over en tidsperiode (prosessen når grensen og deretter begynner å slippe trafikk), betyr det at du må dedikere flere ressurser til Lightweight Gateway. |
Ytelsestellere for ATA-senteret
Du kan se ytelsesstatusen i sanntid for ATA-senteret ved å legge til YTELSEstellerne i ATA-senteret.
Dette gjøres ved å åpne Ytelsesmåler og legge til alle tellere for ATA-senteret. Navnet på objektet for ytelsestelleren er: Microsoft ATA Center.
Her er listen over de viktigste ATA Center tellere å ta hensyn til:
| Disk | Beskrivelse | Terskel | Feilsøking |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | Antall enhetsgrupper i kø av ATA-senteret. | Må være mindre enn maksimum 1 (standard maksimum: 10 000) | Kontroller om det finnes en komponent som har nådd maksimal størrelse og blokkerer tidligere komponenter helt til NetworkListener. Se den foregående ATA-komponentprosessen. Kontroller at det ikke er noe problem med CPU-en eller minnet. |
| Microsoft ATA Center\NetworkActivityProcessor Network Activity Block Size | Antall nettverksaktiviteter (NAer) som er lagt i kø for behandling. | Må være mindre enn maksimum 1 (standard maksimum: 50 000) | Kontroller om det finnes en komponent som har nådd maksimal størrelse og blokkerer tidligere komponenter helt til NetworkListener. Se den foregående ATA-komponentprosessen. Kontroller at det ikke er noe problem med CPU-en eller minnet. |
| Microsoft ATA Center\EntityProfiler Network Activity Block Size | Antall nettverksaktiviteter (NAer) som står i kø for profilering. | Må være mindre enn maksimum 1 (standard maksimum: 100 000) | Kontroller om det finnes en komponent som har nådd maksimal størrelse og blokkerer tidligere komponenter helt til NetworkListener. Se den foregående ATA-komponentprosessen. Kontroller at det ikke er noe problem med CPU-en eller minnet. |
| Microsoft ATA Center\Database * Blokkstørrelse | Antall nettverksaktiviteter, av en bestemt type, i kø for å skrives til databasen. | Må være mindre enn maksimum 1 (standard maksimum: 50 000) | Kontroller om det finnes en komponent som har nådd maksimal størrelse og blokkerer tidligere komponenter helt til NetworkListener. Se den foregående ATA-komponentprosessen. Kontroller at det ikke er noe problem med CPU-en eller minnet. |
Obs!
- Tidsavbrutt tellere er i millisekunder
- Noen ganger er det mer praktisk å overvåke den fullstendige listen over tellere ved hjelp av graftypen for rapport (for eksempel overvåking i sanntid av alle tellerne).
Operativsystemtellere
Tabellen nedenfor viser de viktigste operativsystemtellerne du bør være oppmerksom på:
| Disk | Beskrivelse | Terskel | Feilsøking |
|---|---|---|---|
| Prosessor(_Total)% prosessortid | Prosentandelen av brukt tid som prosessoren bruker på å kjøre en ikke-inaktiv tråd. | Mindre enn 80 % i gjennomsnitt | Kontroller om det finnes en bestemt prosess som tar mye mer prosessortid enn den burde. Legg til flere prosessorer. Reduser trafikkmengden per server. Telleren "Prosessor(_Total)% prosessortid" kan være mindre nøyaktig på virtuelle servere, i så fall er den mer nøyaktige måten å måle mangelen på prosessorkraft gjennom "System\Prosessorkølengde"-telleren. |
| System\Kontekstbrytere\sek | Den kombinerte hastigheten som alle prosessorer byttes fra én tråd til en annen. | Mindre enn 5000*kjerner (fysiske kjerner) | Kontroller om det finnes en bestemt prosess som tar mye mer prosessortid enn den burde. Legg til flere prosessorer. Reduser trafikkmengden per server. Telleren "Prosessor(_Total)% prosessortid" kan være mindre nøyaktig på virtuelle servere, i så fall er den mer nøyaktige måten å måle mangelen på prosessorkraft gjennom "System\Prosessorkølengde"-telleren. |
| Lengde på system-\prosessorkø | Antall tråder som er klare til å utføres og venter på å bli planlagt. | Mindre enn fem *kjerner (fysiske kjerner) | Kontroller om det finnes en bestemt prosess som tar mye mer prosessortid enn den burde. Legg til flere prosessorer. Reduser trafikkmengden per server. Telleren "Prosessor(_Total)% prosessortid" kan være mindre nøyaktig på virtuelle servere, i så fall er den mer nøyaktige måten å måle mangelen på prosessorkraft gjennom "System\Prosessorkølengde"-telleren. |
| Minne\Tilgjengelige MBytes | Mengden fysisk minne (RAM) som er tilgjengelig for tildeling. | Bør være mer enn 512 | Kontroller om det finnes en bestemt prosess som tar mye mer fysisk minne enn den burde. Øk mengden fysisk minne. Reduser trafikkmengden per server. |
| LogicalDisk(*)\Avg. Disk sec\Read | Gjennomsnittlig ventetid for lesing av data fra disken (du bør velge databasestasjonen som forekomst). | Bør være mindre enn 10 millisekunder | Kontroller om det finnes en bestemt prosess som bruker databasestasjonen mer enn den burde. Kontakt lagringsteamet/leverandøren hvis denne stasjonen kan levere den gjeldende arbeidsbelastningen, samtidig som den har mindre enn 10 ms ventetid. Den gjeldende arbeidsbelastningen kan bestemmes ved hjelp av diskutnyttelsestellerne. |
| LogicalDisk(*)\Avg. Disk sec\Write | Gjennomsnittlig ventetid for å skrive data til disken (du bør velge databasestasjonen som forekomst). | Bør være mindre enn 10 millisekunder | Kontroller om det finnes en bestemt prosess som bruker databasestasjonen mer enn den burde. Kontakt lagringsteamet\leverandør hvis denne stasjonen kan levere den gjeldende arbeidsbelastningen, samtidig som den har mindre enn 10 ms ventetid. Den gjeldende arbeidsbelastningen kan bestemmes ved hjelp av diskutnyttelsestellerne. |
| \LogicalDisk(*)\Disk reads\sec | Frekvensen av å utføre leseoperasjoner på disken. | Ingen terskel | Diskutnyttelsestellere kan legge til innsikt når du feilsøker ventetid for lagring. |
| \LogicalDisk(*)\Disk Read Bytes\sec | Antall byte per sekund som leses fra disken. | Ingen terskel | Diskutnyttelsestellere kan legge til innsikt når du feilsøker ventetid for lagring. |
| \LogicalDisk*\Disk writes\sec | Frekvensen for å utføre skriveoperasjoner på disken. | Ingen terskel | Diskutnyttelsestellere (kan legge til innsikt når du feilsøker ventetiden for lagring) |
| \LogicalDisk(*)\Disk Write Bytes\sec | Antall byte per sekund som skrives til disken. | Ingen terskel | Diskutnyttelsestellere kan legge til innsikt når du feilsøker ventetid for lagring. |