Problemen met ATA oplossen met behulp van de prestatiemeteritems
Van toepassing op: Advanced Threat Analytics versie 1.9
De ATA-prestatiemeteritems bieden inzicht in hoe goed elk onderdeel van ATA presteert. De onderdelen in ATA verwerken gegevens sequentieel, zodat er, wanneer er een probleem is, dit gedeeltelijk verloren verkeer kan veroorzaken ergens langs de keten van onderdelen. Om het probleem op te lossen, moet u erachter komen welk onderdeel backfiring is en het probleem aan het begin van de keten oplossen. Gebruik de gegevens in de prestatiemeteritems om te begrijpen hoe elk onderdeel functioneert. Raadpleeg de ATA-architectuur voor meer informatie over de stroom van interne ATA-onderdelen.
ATA-onderdeelproces:
Wanneer een onderdeel de maximale grootte bereikt, blokkeert het het vorige onderdeel om meer entiteiten naar het onderdeel te verzenden.
Uiteindelijk begint het vorige onderdeel met het vergroten van de eigen grootte totdat het onderdeel ervoor blokkeert dat er meer entiteiten worden verzonden.
Dit gebeurt helemaal terug naar het onderdeel NetworkListener, waardoor het verkeer wordt verwijderd wanneer entiteiten niet meer kunnen worden doorgestuurd.
Prestatiemeterbestanden ophalen voor probleemoplossing
Ga als volgt te werk om de blg-bestanden (performance monitor) op te halen uit de verschillende ATA-onderdelen:
- Open perfmon.
- Stop de gegevensverzamelaarset met de naam : Microsoft ATA Gateway of Microsoft ATA Center.
- Ga naar de map gegevensverzamelaarset (standaard is dit C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets of C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets).
- Kopieer het BLG-bestand dat het laatst is gewijzigd.
- Start de gegevensverzamelaarset met de naam Microsoft ATA Gateway of Microsoft ATA Center opnieuw.
ATA Gateway-prestatiemeteritems
In deze sectie verwijst elke verwijzing naar ATA Gateway ook naar de ATA Lightweight-gateway.
U kunt de realtime prestatiestatus van de ATA Gateway bekijken door de prestatiemeteritems van de ATA Gateway toe te voegen. U doet dit door Prestatiemeter te openen en alle tellers voor de ATA Gateway toe te voegen. De naam van het prestatiemeteritemsobject is: Microsoft ATA Gateway.
Hier volgt de lijst met de belangrijkste ATA Gateway-tellers waar u op moet letten:
| Toonbank | Beschrijving | Drempel | Problemen oplossen |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF Geparseerde berichten\Sec | De hoeveelheid verkeer die elke seconde door de ATA-gateway wordt verwerkt. | Geen drempelwaarde | Hiermee krijgt u inzicht in de hoeveelheid verkeer die wordt geparseerd door de ATA-gateway. |
| NetworkListener PEF-verwijderde gebeurtenissen\sec | De hoeveelheid verkeer die elke seconde door de ATA-gateway wordt verwijderd. | Dit getal moet altijd nul zijn (zeldzame korte dalingen zijn acceptabel). | Controleer of er een onderdeel is dat de maximale grootte heeft bereikt en eerdere onderdelen helemaal tot aan de NetworkListener blokkeert. Raadpleeg het ATA-onderdeelproces hierboven. Controleer of er geen probleem is met de CPU of het geheugen. |
| Microsoft ATA Gateway\NetworkListener ETW Dropped Events\Sec | De hoeveelheid verkeer die elke seconde door de ATA-gateway wordt verwijderd. | Dit getal moet altijd nul zijn (zeldzame korte dalingen zijn acceptabel). | Controleer of er een onderdeel is dat de maximale grootte heeft bereikt en eerdere onderdelen helemaal tot aan de NetworkListener blokkeert. Raadpleeg het ATA-onderdeelproces hierboven. Controleer of er geen probleem is met de CPU of het geheugen. |
| Microsoft ATA Gateway\NetworkActivityTranslator Message Data # Block Size | De hoeveelheid verkeer in de wachtrij voor vertaling naar netwerkactiviteiten (NA's). | Moet kleiner zijn dan de maximum-1 (standaard maximum: 100.000) | Controleer of er een onderdeel is dat de maximale grootte heeft bereikt en eerdere onderdelen helemaal tot aan de NetworkListener blokkeert. Raadpleeg het ATA-onderdeelproces hierboven. Controleer of er geen probleem is met de CPU of het geheugen. |
| Microsoft ATA Gateway\EntityResolver Activity Block Size | Het aantal netwerkactiviteiten (NA's) dat in de wachtrij staat voor oplossing. | Moet kleiner zijn dan de maximum-1 (standaard maximum: 10.000) | Controleer of er een onderdeel is dat de maximale grootte heeft bereikt en eerdere onderdelen helemaal tot aan de NetworkListener blokkeert. Raadpleeg het ATA-onderdeelproces hierboven. Controleer of er geen probleem is met de CPU of het geheugen. |
| Microsoft ATA Gateway\EntitySender Entity Batch Block Size | De hoeveelheid netwerkactiviteiten (NA's) in de wachtrij die naar het ATA Center moet worden verzonden. | Moet kleiner zijn dan de maximum-1 (standaard maximum: 1.000.000) | Controleer of er een onderdeel is dat de maximale grootte heeft bereikt en eerdere onderdelen helemaal tot aan de NetworkListener blokkeert. Raadpleeg het ATA-onderdeelproces hierboven. Controleer of er geen probleem is met de CPU of het geheugen. |
| Microsoft ATA Gateway\EntitySender Batch Send Time | De hoeveelheid tijd die nodig was om de laatste batch te verzenden. | Moet meestal minder dan 1000 milliseconden zijn | Controleer of er netwerkproblemen zijn tussen de ATA Gateway en het ATA Center. |
Opmerking
- Getimede tellers zijn in milliseconden.
- Het is soms handiger om de volledige lijst met tellers te bewaken met behulp van het grafiektype Rapport (bijvoorbeeld: realtime bewaking van alle tellers)
ATA Lightweight Gateway-prestatiemeteritems
De prestatiemeteritems kunnen worden gebruikt voor quotumbeheer in de Lightweight-gateway, om ervoor te zorgen dat ATA niet te veel resources leegloopt van de domeincontrollers waarop deze is geïnstalleerd. Als u de resourcebeperkingen wilt meten die ATA afdwingt op de Lightweight-gateway, voegt u deze tellers toe.
Dit doet u door Prestatiemeter te openen en alle tellers voor de ATA Lightweight-gateway toe te voegen. De namen van de prestatiemeteritemsobjecten zijn: Microsoft ATA Gateway en Microsoft ATA Gateway Updater.
| Toonbank | Beschrijving | Drempel | Problemen oplossen |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU Time Max % | De maximale hoeveelheid CPU-tijd (in percentage) die het Lightweight Gateway-proces kan verbruiken. | Geen drempelwaarde. | Dit is de beperking die voorkomt dat de resources van de domeincontroller worden verbruikt door de ATA Lightweight-gateway. Als u ziet dat het proces gedurende een bepaalde periode vaak de maximale limiet bereikt (het proces bereikt de limiet en vervolgens verkeer begint te verwijderen), betekent dit dat u meer resources moet toevoegen aan de server waarop de domeincontroller wordt uitgevoerd. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Commit Memory Max Size | De maximale hoeveelheid vastgelegd geheugen (in bytes) die het Lightweight Gateway-proces kan gebruiken. | Geen drempelwaarde. | Dit is de beperking die voorkomt dat de resources van de domeincontroller worden verbruikt door de ATA Lightweight-gateway. Als u ziet dat het proces in de loop van de tijd vaak de maximumlimiet bereikt (het proces bereikt de limiet en vervolgens verkeer begint te verwijderen), betekent dit dat u meer resources moet toevoegen aan de server waarop de domeincontroller wordt uitgevoerd. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Working Set Limit Size | De maximale hoeveelheid fysiek geheugen (in bytes) die het Lightweight Gateway-proces kan gebruiken. | Geen drempelwaarde. | Dit is de beperking die voorkomt dat de resources van de domeincontroller worden verbruikt door de ATA Lightweight-gateway. Als u ziet dat het proces in de loop van de tijd vaak de maximumlimiet bereikt (het proces bereikt de limiet en vervolgens verkeer begint te verwijderen), betekent dit dat u meer resources moet toevoegen aan de server waarop de domeincontroller wordt uitgevoerd. |
Als u uw werkelijke verbruik wilt zien, raadpleegt u de volgende tellers:
| Toonbank | Beschrijving | Drempel | Problemen oplossen |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Processor Time | De hoeveelheid CPU-tijd (in percentage) die het Lightweight Gateway-proces daadwerkelijk verbruikt. | Geen drempelwaarde. | Vergelijk de resultaten van dit teller met de limiet in GatewayUpdaterResourceManager CPU Time Max %. Als u ziet dat het proces gedurende een bepaalde periode vaak de maximale limiet bereikt (het proces bereikt de limiet en vervolgens het verkeer begint te verwijderen), betekent dit dat u meer resources moet toewijzen aan de Lightweight-gateway. |
| Process(Microsoft.Tri.Gateway)\Private Bytes | De hoeveelheid vastgelegd geheugen (in bytes) die het Lightweight Gateway-proces daadwerkelijk verbruikt. | Geen drempelwaarde. | Vergelijk de resultaten van dit teller met de limiet in GatewayUpdaterResourceManager Commit Memory Max Size. Als u ziet dat het proces gedurende een bepaalde periode vaak de maximale limiet bereikt (het proces bereikt de limiet en vervolgens het verkeer begint te verwijderen), betekent dit dat u meer resources moet toewijzen aan de Lightweight-gateway. |
| Process(Microsoft.Tri.Gateway)\Working Set | De hoeveelheid fysiek geheugen (in bytes) die het Lightweight Gateway-proces daadwerkelijk verbruikt. | Geen drempelwaarde. | Vergelijk de resultaten van dit teller met de limiet in GatewayUpdaterResourceManager Working Set Limit Size. Als u ziet dat het proces gedurende een bepaalde periode vaak de maximale limiet bereikt (het proces bereikt de limiet en vervolgens het verkeer begint te verwijderen), betekent dit dat u meer resources moet toewijzen aan de Lightweight-gateway. |
ATA Center-prestatiemeteritems
U kunt de realtime prestatiestatus van het ATA Center bekijken door de prestatiemeteritems van het ATA Center toe te voegen.
Dit doet u door Prestatiemeter te openen en alle tellers voor het ATA Center toe te voegen. De naam van het prestatiemeteritemsobject is: Microsoft ATA Center.
Hier volgt de lijst met de belangrijkste ATA Center-tellers waar u op moet letten:
| Toonbank | Beschrijving | Drempel | Problemen oplossen |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | Het aantal entiteitsbatches dat in de wachtrij wordt geplaatst door het ATA Center. | Moet kleiner zijn dan de maximum-1 (standaard maximum: 10.000) | Controleer of er een onderdeel is dat de maximale grootte heeft bereikt en eerdere onderdelen helemaal tot aan de NetworkListener blokkeert. Raadpleeg het voorgaande ATA-onderdeelproces. Controleer of er geen probleem is met de CPU of het geheugen. |
| Microsoft ATA Center\NetworkActivityProcessor Network Activity Block Size | Het aantal netwerkactiviteiten (NA's) dat in de wachtrij staat voor verwerking. | Moet kleiner zijn dan de maximum-1 (standaard maximum: 50.000) | Controleer of er een onderdeel is dat de maximale grootte heeft bereikt en eerdere onderdelen helemaal tot aan de NetworkListener blokkeert. Raadpleeg het voorgaande ATA-onderdeelproces. Controleer of er geen probleem is met de CPU of het geheugen. |
| Microsoft ATA Center\EntityProfiler Network Activity Block Size | Het aantal netwerkactiviteiten (NA's) dat in de wachtrij staat voor profilering. | Moet kleiner zijn dan de maximum-1 (standaard maximum: 100.000) | Controleer of er een onderdeel is dat de maximale grootte heeft bereikt en eerdere onderdelen helemaal tot aan de NetworkListener blokkeert. Raadpleeg het voorgaande ATA-onderdeelproces. Controleer of er geen probleem is met de CPU of het geheugen. |
| Microsoft ATA Center\Database * Blokgrootte | Het aantal netwerkactiviteiten, van een specifiek type, dat in de wachtrij staat om naar de database te worden geschreven. | Moet kleiner zijn dan de maximum-1 (standaard maximum: 50.000) | Controleer of er een onderdeel is dat de maximale grootte heeft bereikt en eerdere onderdelen helemaal tot aan de NetworkListener blokkeert. Raadpleeg het voorgaande ATA-onderdeelproces. Controleer of er geen probleem is met de CPU of het geheugen. |
Opmerking
- Getimede tellers zijn in milliseconden
- Het is soms handiger om de volledige lijst met tellers te bewaken met behulp van het grafiektype voor Rapport (bijvoorbeeld: realtime bewaking van alle tellers).
Tellers van besturingssysteem
De volgende tabel bevat de belangrijkste tellers van het besturingssysteem waar u op moet letten:
| Toonbank | Beschrijving | Drempel | Problemen oplossen |
|---|---|---|---|
| Processor(_Total)% processortijd | Het percentage verstreken tijd dat de processor besteedt aan het uitvoeren van een niet-inactieve thread. | Gemiddeld minder dan 80% | Controleer of er een specifiek proces is dat veel meer processortijd in beslag neemt dan het zou moeten. Voeg meer processors toe. Verminder de hoeveelheid verkeer per server. De teller Processor(_Total)% processortijd is mogelijk minder nauwkeurig op virtuele servers. In dat geval is de nauwkeurigere manier om het gebrek aan processorkracht te meten via de teller 'System\Processor Queue Length'. |
| System\Context Switches\sec | De gecombineerde snelheid waarmee alle processors van de ene thread naar de andere worden overgeschakeld. | Minder dan 5000*kernen (fysieke kernen) | Controleer of er een specifiek proces is dat veel meer processortijd in beslag neemt dan het zou moeten. Voeg meer processors toe. Verminder de hoeveelheid verkeer per server. De teller Processor(_Total)% processortijd is mogelijk minder nauwkeurig op virtuele servers. In dat geval is de nauwkeurigere manier om het gebrek aan processorkracht te meten via de teller 'System\Processor Queue Length'. |
| Wachtrijlengte systeem\processor | Het aantal threads dat klaar is om te worden uitgevoerd en dat erop wacht om te worden gepland. | Minder dan vijf*kernen (fysieke kernen) | Controleer of er een specifiek proces is dat veel meer processortijd in beslag neemt dan het zou moeten. Voeg meer processors toe. Verminder de hoeveelheid verkeer per server. De teller Processor(_Total)% processortijd is mogelijk minder nauwkeurig op virtuele servers. In dat geval is de nauwkeurigere manier om het gebrek aan processorkracht te meten via de teller 'System\Processor Queue Length'. |
| Geheugen\Beschikbare MBytes | De hoeveelheid fysiek geheugen (RAM) die beschikbaar is voor toewijzing. | Moet meer dan 512 zijn | Controleer of er een specifiek proces is dat veel meer fysiek geheugen in beslag neemt dan het zou moeten. Verhoog de hoeveelheid fysiek geheugen. Verminder de hoeveelheid verkeer per server. |
| LogicalDisk(*)\Gem. Disk sec\Read | De gemiddelde latentie voor het lezen van gegevens van de schijf (kies het databasestation als het exemplaar). | Moet minder dan 10 milliseconden zijn | Controleer of er een specifiek proces is dat het databasestation meer gebruikt dan zou moeten. Neem contact op met uw opslagteam/leverancier als dit station de huidige workload kan leveren met een latentie van minder dan 10 ms. De huidige workload kan worden bepaald met behulp van de schijfgebruikstellers. |
| LogicalDisk(*)\Gem. Disk sec\Write | De gemiddelde latentie voor het schrijven van gegevens naar de schijf (kies het databasestation als het exemplaar). | Moet minder dan 10 milliseconden zijn | Controleer of er een specifiek proces is dat het databasestation meer gebruikt dan zou moeten. Neem contact op met uw opslagteam/leverancier als dit station de huidige workload kan leveren met een latentie van minder dan 10 ms. De huidige workload kan worden bepaald met behulp van de schijfgebruikstellers. |
| \LogicalDisk(*)\Schijf leest\sec | De snelheid van het uitvoeren van leesbewerkingen op de schijf. | Geen drempelwaarde | Schijfgebruikstellers kunnen inzicht bieden bij het oplossen van problemen met opslaglatentie. |
| \LogicalDisk(*)\Disk Read Bytes\sec | Het aantal bytes per seconde dat van de schijf wordt gelezen. | Geen drempelwaarde | Schijfgebruikstellers kunnen inzicht bieden bij het oplossen van problemen met opslaglatentie. |
| \LogicalDisk*\Disk Writes\sec | De snelheid waarmee schrijfbewerkingen naar de schijf worden uitgevoerd. | Geen drempelwaarde | Schijfgebruikmeteritems (kunnen inzichten toevoegen bij het oplossen van problemen met de opslaglatentie) |
| \LogicalDisk(*)\Schijf schrijven bytes\sec | Het aantal bytes per seconde dat naar de schijf wordt geschreven. | Geen drempelwaarde | Schijfgebruikstellers kunnen inzicht bieden bij het oplossen van problemen met opslaglatentie. |