Rozwiązywanie problemów z usługą ATA przy użyciu liczników wydajności
Dotyczy: Advanced Threat Analytics w wersji 1.9
Liczniki wydajności usługi ATA zapewniają wgląd w wydajność poszczególnych składników usługi ATA. Składniki usługi ATA przetwarzają dane sekwencyjnie, dzięki czemu w przypadku wystąpienia problemu może to spowodować częściowy porzucony ruch gdzieś wzdłuż łańcucha składników. Aby rozwiązać ten problem, musisz ustalić, który składnik jest odpalanie i rozwiązać problem na początku łańcucha. Użyj danych znalezionych w licznikach wydajności, aby zrozumieć, jak działa każdy składnik. Zapoznaj się z architekturą usługi ATA, aby zrozumieć przepływ wewnętrznych składników usługi ATA.
Proces składnika usługi ATA:
Gdy składnik osiągnie maksymalny rozmiar, uniemożliwia poprzedniemu składnikowi wysyłanie do niego większej liczby jednostek.
Następnie w końcu poprzedni składnik zacznie zwiększać swój własny rozmiar, dopóki nie zablokuje przed nim składnika przed wysłaniem większej liczby jednostek.
Dzieje się tak aż do składnika NetworkListener, który spowoduje spadek ruchu, gdy nie będzie już mógł przekazywać jednostek.
Pobieranie plików monitora wydajności na potrzeby rozwiązywania problemów
Aby pobrać pliki monitora wydajności (BLG) z różnych składników usługi ATA:
- Otwórz plik perfmon.
- Zatrzymaj zestaw modułów zbierających dane o nazwie: Brama usługi Microsoft ATA lub Centrum usługi Microsoft ATA.
- Przejdź do folderu zestawu modułów zbierających dane (domyślnie jest to "C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" lub "C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Skopiuj ostatnio zmodyfikowany plik BLG.
- Uruchom ponownie zestaw modułów zbierających dane o nazwie Microsoft ATA Gateway lub Microsoft ATA Center.
Liczniki wydajności bramy usługi ATA
W tej sekcji każde odwołanie do bramy usługi ATA odnosi się również do uproszczonej bramy usługi ATA.
Stan wydajności bramy usługi ATA można obserwować w czasie rzeczywistym, dodając liczniki wydajności bramy usługi ATA. W tym celu należy otworzyć monitor wydajności i dodać wszystkie liczniki bramy usługi ATA. Nazwa obiektu licznika wydajności to: Brama usługi Microsoft ATA.
Oto lista głównych liczników bramy usługi ATA, na które należy zwrócić uwagę:
| Lada | Opis | Próg | Rozwiązywanie problemów |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF Parsed Messages\Sec | Ilość ruchu przetwarzanego przez bramę usługi ATA co sekundę. | Brak progu | Ułatwia zrozumienie ilości ruchu analizowanego przez bramę usługi ATA. |
| NetworkListener PEF Dropped Events\Sec | Ilość ruchu porzuconego przez bramę usługi ATA co sekundę. | Ta liczba powinna wynosić zero przez cały czas (dopuszczalne są rzadkie krótkie serie kropli). | Sprawdź, czy istnieje jakikolwiek składnik, który osiągnął swój maksymalny rozmiar i blokuje poprzednie składniki aż do elementu NetworkListener. Zapoznaj się z powyższym procesem składnika usługi ATA . Sprawdź, czy nie ma problemu z procesorem CPU lub pamięcią. |
| Microsoft ATA Gateway\NetworkListener ETW Dropped Events\Sec | Ilość ruchu porzuconego przez bramę usługi ATA co sekundę. | Ta liczba powinna wynosić zero przez cały czas (dopuszczalne są rzadkie krótkie serie kropli). | Sprawdź, czy istnieje jakikolwiek składnik, który osiągnął swój maksymalny rozmiar i blokuje poprzednie składniki aż do elementu NetworkListener. Zapoznaj się z powyższym procesem składnika usługi ATA . Sprawdź, czy nie ma problemu z procesorem CPU lub pamięcią. |
| Microsoft ATA Gateway\NetworkActivityTranslator Message Data # Block Size | Ilość ruchu w kolejce do tłumaczenia na działania sieciowe (NA). | Powinna być mniejsza niż maksymalna-1 (domyślna maksymalna: 100 000) | Sprawdź, czy istnieje jakikolwiek składnik, który osiągnął swój maksymalny rozmiar i blokuje poprzednie składniki aż do elementu NetworkListener. Zapoznaj się z powyższym procesem składnika usługi ATA . Sprawdź, czy nie ma problemu z procesorem CPU lub pamięcią. |
| Microsoft ATA Gateway\EntityResolver Activity Block Size | Liczba działań sieciowych umieszczonych w kolejce do rozwiązania. | Powinna być mniejsza niż maksymalna-1 (domyślna maksymalna: 10 000) | Sprawdź, czy istnieje jakikolwiek składnik, który osiągnął swój maksymalny rozmiar i blokuje poprzednie składniki aż do elementu NetworkListener. Zapoznaj się z powyższym procesem składnika usługi ATA . Sprawdź, czy nie ma problemu z procesorem CPU lub pamięcią. |
| Microsoft ATA Gateway\EntitySender Entity Batch Block Size | Ilość działań sieciowych w kolejce do wysłania do centrum usługi ATA. | Powinna być mniejsza niż maksymalna-1 (domyślna maksymalna: 1 000 000) | Sprawdź, czy istnieje jakikolwiek składnik, który osiągnął swój maksymalny rozmiar i blokuje poprzednie składniki aż do elementu NetworkListener. Zapoznaj się z powyższym procesem składnika usługi ATA . Sprawdź, czy nie ma problemu z procesorem CPU lub pamięcią. |
| Microsoft ATA Gateway\EntitySender Batch Send Time | Czas, jaki zajęło wysłanie ostatniej partii. | W większości przypadków powinna być mniejsza niż 1000 milisekund | Sprawdź, czy występują problemy z siecią między bramą usługi ATA a centrum usługi ATA. |
Uwaga
- Liczniki czasowe są w milisekundach.
- Czasami bardziej wygodne jest monitorowanie pełnej listy liczników przy użyciu typu wykresu raportu (na przykład: monitorowanie wszystkich liczników w czasie rzeczywistym)
Liczniki wydajności uproszczonej bramy usługi ATA
Liczniki wydajności mogą służyć do zarządzania przydziałami w uproszczonej bramie, aby upewnić się, że usługa ATA nie opróżnia zbyt wielu zasobów z kontrolerów domeny, na których jest zainstalowana. Aby zmierzyć ograniczenia zasobów wymuszane przez usługę ATA w bramie Lightweight Gateway, dodaj te liczniki.
W tym celu należy otworzyć monitor wydajności i dodać wszystkie liczniki dla uproszczonej bramy usługi ATA. Nazwy obiektów licznika wydajności to: Microsoft ATA Gateway i Microsoft ATA Gateway Updater.
| Lada | Opis | Próg | Rozwiązywanie problemów |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager — maksymalny procent czasu procesora CPU | Maksymalna ilość czasu procesora CPU (w procentach), z których może korzystać proces uproszczonej bramy. | Brak progu. | Jest to ograniczenie, które chroni zasoby kontrolera domeny przed użyciem przez uproszczoną bramę usługi ATA. Jeśli zobaczysz, że proces osiąga maksymalny limit często przez pewien czas (proces osiąga limit, a następnie zaczyna porzucać ruch), oznacza to, że należy dodać więcej zasobów do serwera z uruchomionym kontrolerem domeny. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Commit Memory Max Size | Maksymalna ilość zatwierdzonej pamięci (w bajtach), która może być zużywana przez proces uproszczonej bramy. | Brak progu. | Jest to ograniczenie, które chroni zasoby kontrolera domeny przed użyciem przez uproszczoną bramę usługi ATA. Jeśli zobaczysz, że proces osiąga maksymalny limit często w danym okresie (proces osiąga limit, a następnie zaczyna porzucać ruch), oznacza to, że należy dodać więcej zasobów do serwera z uruchomionym kontrolerem domeny. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Working Set Limit Size | Maksymalna ilość pamięci fizycznej (w bajtach), z których może korzystać proces uproszczonej bramy. | Brak progu. | Jest to ograniczenie, które chroni zasoby kontrolera domeny przed użyciem przez uproszczoną bramę usługi ATA. Jeśli zobaczysz, że proces osiąga maksymalny limit często w danym okresie (proces osiąga limit, a następnie zaczyna porzucać ruch), oznacza to, że należy dodać więcej zasobów do serwera z uruchomionym kontrolerem domeny. |
Aby wyświetlić rzeczywiste zużycie, zapoznaj się z następującymi licznikami:
| Lada | Opis | Próg | Rozwiązywanie problemów |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Czas procesora | Ilość czasu procesora CPU (w procentach), który faktycznie zużywa proces uproszczonej bramy. | Brak progu. | Porównaj wyniki tego licznika z limitem znalezionym w parametrze GatewayUpdaterResourceManager — maksymalny czas procesora CPU . Jeśli zobaczysz, że proces osiąga maksymalny limit często w danym okresie (proces osiąga limit, a następnie zaczyna usuwać ruch), oznacza to, że należy poświęcić więcej zasobów do uproszczonej bramy. |
| Process(Microsoft.Tri.Gateway)\Bajty prywatne | Ilość zatwierdzonej pamięci (w bajtach), którą faktycznie zużywa proces uproszczonej bramy. | Brak progu. | Porównaj wyniki tego licznika z limitem znalezionym w obszarze GatewayUpdaterResourceManager Commit Memory Max Size (Maksymalny rozmiar pamięci zatwierdzenia gatewayUpdaterResourceManager). Jeśli zobaczysz, że proces osiąga maksymalny limit często w danym okresie (proces osiąga limit, a następnie zaczyna usuwać ruch), oznacza to, że należy poświęcić więcej zasobów do uproszczonej bramy. |
| Process(Microsoft.Tri.Gateway)\Zestaw roboczy | Ilość pamięci fizycznej (w bajtach), która faktycznie zużywa proces uproszczonej bramy. | Brak progu. | Porównaj wyniki tego licznika z limitem znalezionym w obszarze GatewayUpdaterResourceManager Working Set Limit Size (Rozmiar limitu zestawu roboczego gatewayUpdaterResourceManager). Jeśli zobaczysz, że proces osiąga maksymalny limit często w danym okresie (proces osiąga limit, a następnie zaczyna usuwać ruch), oznacza to, że należy poświęcić więcej zasobów do uproszczonej bramy. |
Liczniki wydajności centrum usługi ATA
Stan wydajności centrum usługi ATA można obserwować w czasie rzeczywistym, dodając liczniki wydajności centrum usługi ATA.
W tym celu należy otworzyć monitor wydajności i dodać wszystkie liczniki dla centrum usługi ATA. Nazwa obiektu licznika wydajności to : Centrum usługi Microsoft ATA.
Oto lista głównych liczników centrum usługi ATA, na które należy zwrócić uwagę:
| Lada | Opis | Próg | Rozwiązywanie problemów |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | Liczba partii jednostek umieszczonych w kolejce przez centrum usługi ATA. | Powinna być mniejsza niż maksymalna-1 (domyślna maksymalna: 10 000) | Sprawdź, czy istnieje jakikolwiek składnik, który osiągnął swój maksymalny rozmiar i blokuje poprzednie składniki aż do elementu NetworkListener. Zapoznaj się z poprzednim procesem składnika usługi ATA. Sprawdź, czy nie ma problemu z procesorem CPU lub pamięcią. |
| Microsoft ATA Center\NetworkActivityProcessor Network Activity Block Size | Liczba działań sieciowych umieszczonych w kolejce do przetwarzania. | Powinna być mniejsza niż maksymalna-1 (domyślna maksymalna wartość: 50 000) | Sprawdź, czy istnieje jakikolwiek składnik, który osiągnął swój maksymalny rozmiar i blokuje poprzednie składniki aż do elementu NetworkListener. Zapoznaj się z poprzednim procesem składnika usługi ATA. Sprawdź, czy nie ma problemu z procesorem CPU lub pamięcią. |
| Microsoft ATA Center\EntityProfiler Network Activity Block Size | Liczba działań sieciowych umieszczonych w kolejce do profilowania. | Powinna być mniejsza niż maksymalna-1 (domyślna maksymalna: 100 000) | Sprawdź, czy istnieje jakikolwiek składnik, który osiągnął swój maksymalny rozmiar i blokuje poprzednie składniki aż do elementu NetworkListener. Zapoznaj się z poprzednim procesem składnika usługi ATA. Sprawdź, czy nie ma problemu z procesorem CPU lub pamięcią. |
| Centrum usługi Microsoft ATA\Baza danych * Rozmiar bloku | Liczba działań sieciowych określonego typu umieszczonych w kolejce do zapisania w bazie danych. | Powinna być mniejsza niż maksymalna-1 (domyślna maksymalna wartość: 50 000) | Sprawdź, czy istnieje jakikolwiek składnik, który osiągnął swój maksymalny rozmiar i blokuje poprzednie składniki aż do elementu NetworkListener. Zapoznaj się z poprzednim procesem składnika usługi ATA. Sprawdź, czy nie ma problemu z procesorem CPU lub pamięcią. |
Uwaga
- Liczniki czasowe są w milisekundach
- Czasami bardziej wygodne jest monitorowanie pełnej listy liczników przy użyciu typu wykresu raportu (na przykład: monitorowanie wszystkich liczników w czasie rzeczywistym).
Liczniki systemu operacyjnego
W poniższej tabeli wymieniono główne liczniki systemu operacyjnego, na które należy zwrócić uwagę:
| Lada | Opis | Próg | Rozwiązywanie problemów |
|---|---|---|---|
| Procesor(_Total)% czasu procesora | Procent czasu, który procesor poświęca na wykonanie wątku nieaktywnego. | Średnio mniej niż 80% | Sprawdź, czy istnieje określony proces, który zajmuje dużo więcej czasu procesora niż powinien. Dodaj więcej procesorów. Zmniejsz ilość ruchu na serwer. Licznik "Procesor(_Total)% czasu procesora" może być mniej dokładny na serwerach wirtualnych, w którym to przypadku dokładniejszym sposobem mierzenia braku mocy procesora jest użycie licznika "System\Długość kolejki procesora". |
| System\Context Switch\s | Łączna szybkość przełączania wszystkich procesorów z jednego wątku na inny. | Mniej niż 5000*rdzeni (rdzeni fizycznych) | Sprawdź, czy istnieje określony proces, który zajmuje dużo więcej czasu procesora niż powinien. Dodaj więcej procesorów. Zmniejsz ilość ruchu na serwer. Licznik "Procesor(_Total)% czasu procesora" może być mniej dokładny na serwerach wirtualnych, w którym to przypadku dokładniejszym sposobem mierzenia braku mocy procesora jest użycie licznika "System\Długość kolejki procesora". |
| System\Długość kolejki procesora | Liczba wątków gotowych do wykonania i oczekujących na zaplanowanie. | Mniej niż pięć*rdzeni (rdzeni fizycznych) | Sprawdź, czy istnieje określony proces, który zajmuje dużo więcej czasu procesora niż powinien. Dodaj więcej procesorów. Zmniejsz ilość ruchu na serwer. Licznik "Procesor(_Total)% czasu procesora" może być mniej dokładny na serwerach wirtualnych, w którym to przypadku dokładniejszym sposobem mierzenia braku mocy procesora jest użycie licznika "System\Długość kolejki procesora". |
| Pamięć\Dostępne mbobajty | Ilość pamięci fizycznej (RAM) dostępna do alokacji. | Powinna być większa niż 512 | Sprawdź, czy istnieje określony proces, który zajmuje dużo więcej pamięci fizycznej niż powinien. Zwiększ ilość pamięci fizycznej. Zmniejsz ilość ruchu na serwer. |
| LogicalDisk(*)\Avg. Disk sec\Read | Średnie opóźnienie odczytu danych z dysku (należy wybrać dysk bazy danych jako wystąpienie). | Powinna być mniejsza niż 10 milisekund | Sprawdź, czy istnieje określony proces, który korzysta z dysku bazy danych bardziej niż powinien. Skonsultuj się z zespołem/dostawcą magazynu, jeśli ten dysk może dostarczyć bieżące obciążenie z opóźnieniem mniejszym niż 10 ms. Bieżące obciążenie można określić przy użyciu liczników użycia dysku. |
| LogicalDisk(*)\Avg. Disk sec\Write | Średnie opóźnienie zapisywania danych na dysku (należy wybrać dysk bazy danych jako wystąpienie). | Powinna być mniejsza niż 10 milisekund | Sprawdź, czy istnieje określony proces, który korzysta z dysku bazy danych bardziej niż powinien. Skonsultuj się z zespołem magazynu\dostawcą, jeśli ten dysk może dostarczyć bieżące obciążenie, mając mniej niż 10 ms opóźnienia. Bieżące obciążenie można określić przy użyciu liczników użycia dysku. |
| \LogicalDisk(*)\Disk Reads\sec | Szybkość wykonywania operacji odczytu na dysku. | Brak progu | Liczniki wykorzystania dysku mogą dodawać szczegółowe informacje podczas rozwiązywania problemów z opóźnieniem magazynu. |
| \LogicalDisk(*)\Disk Read Bytes\sec | Liczba bajtów na sekundę, które są odczytywane z dysku. | Brak progu | Liczniki wykorzystania dysku mogą dodawać szczegółowe informacje podczas rozwiązywania problemów z opóźnieniem magazynu. |
| \LogicalDisk*\Disk Writes\sec | Szybkość wykonywania operacji zapisu na dysku. | Brak progu | Liczniki wykorzystania dysku (mogą dodawać szczegółowe informacje podczas rozwiązywania problemów z opóźnieniem magazynu) |
| \LogicalDisk(*)\Disk Write Bytes\sec | Liczba bajtów na sekundę zapisywanych na dysku. | Brak progu | Liczniki wykorzystania dysku mogą dodawać szczegółowe informacje podczas rozwiązywania problemów z opóźnieniem magazynu. |