Resolver problemas do ATA com os contadores de desempenho
Aplica-se a: Advanced Threat Analytics versão 1.9
Os contadores de desempenho do ATA fornecem informações sobre o desempenho de cada componente do ATA. Os componentes no ATA processam os dados sequencialmente, para que, quando houver um problema, possa causar tráfego parcial removido algures ao longo da cadeia de componentes. Para corrigir o problema, tem de descobrir qual é o componente que está a fazer backfiring e corrigir o problema no início da cadeia. Utilize os dados encontrados nos contadores de desempenho para compreender o funcionamento de cada componente. Veja Arquitetura do ATA para compreender o fluxo de componentes internos do ATA.
Processo do componente do ATA:
Quando um componente atinge o tamanho máximo, impede que o componente anterior envie mais entidades para o mesmo.
Em seguida, eventualmente, o componente anterior começará a aumentar o seu próprio tamanho até bloquear o componente antes dele, de enviar mais entidades.
Isto acontece até ao componente NetworkListener, que irá diminuir o tráfego quando já não conseguir reencaminhar entidades.
Obter ficheiros do monitor de desempenho para resolução de problemas
Para obter os ficheiros do monitor de desempenho (BLG) dos vários componentes do ATA:
- Abra o perfmon.
- Pare o conjunto de recoletores de dados com o nome: Microsoft ATA Gateway ou Microsoft ATA Center.
- Aceda à pasta do conjunto de recoletores de dados (por predefinição, trata-se de "C:\Programas\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" ou "C:\Programas\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Copie o ficheiro BLG que foi modificado mais recentemente.
- Reinicie o conjunto de recoletores de dados com o nome: Microsoft ATA Gateway ou Microsoft ATA Center.
Contadores de desempenho do ATA Gateway
Nesta secção, todas as referências ao ATA Gateway também se referem ao ATA Lightweight Gateway.
Pode observar o desempenho em tempo real status do ATA Gateway ao adicionar os contadores de desempenho do ATA Gateway. Isto é feito ao abrir Monitor de Desempenho e adicionar todos os contadores para o ATA Gateway. O nome do objeto do contador de desempenho é: Microsoft ATA Gateway.
Eis a lista dos contadores do main ATA Gateway a que deve prestar atenção:
| Contador | Descrição | Limite | Solução de problemas |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF Parsed Messages\Sec | A quantidade de tráfego a ser processado pelo ATA Gateway a cada segundo. | Sem limiar | Ajuda-o a compreender a quantidade de tráfego que está a ser analisada pelo ATA Gateway. |
| Eventos Removidos do PEF do NetworkListener\Seg | A quantidade de tráfego a ser removido pelo ATA Gateway a cada segundo. | Este número deve ser sempre zero (é aceitável um pequeno e raro pico de quedas). | Verifique se existe algum componente que tenha atingido o tamanho máximo e esteja a bloquear componentes anteriores até ao NetworkListener. Veja o Processo do Componente do ATA acima. Verifique se não existe nenhum problema com a CPU ou a memória. |
| Microsoft ATA Gateway\NetworkListener ETW Dropped Events\Sec | A quantidade de tráfego a ser removido pelo ATA Gateway a cada segundo. | Este número deve ser sempre zero (é aceitável um pequeno e raro pico de quedas). | Verifique se existe algum componente que tenha atingido o tamanho máximo e esteja a bloquear componentes anteriores até ao NetworkListener. Veja o Processo do Componente do ATA acima. Verifique se não existe nenhum problema com a CPU ou a memória. |
| Microsoft ATA Gateway\NetworkActivityTranslator Message Data # Block Size | A quantidade de tráfego em fila de espera para tradução para Atividades de Rede (NAs). | Deve ser inferior ao máximo-1 (máximo predefinido: 100 000) | Verifique se existe algum componente que tenha atingido o tamanho máximo e esteja a bloquear componentes anteriores até ao NetworkListener. Veja o Processo do Componente do ATA acima. Verifique se não existe nenhum problema com a CPU ou a memória. |
| Tamanho do Bloco de Atividade do Microsoft ATA Gateway\EntityResolver | O número de Atividades de Rede (NAs) em fila de espera para resolução. | Deve ser inferior ao máximo-1 (máximo predefinido: 10 000) | Verifique se existe algum componente que tenha atingido o tamanho máximo e esteja a bloquear componentes anteriores até ao NetworkListener. Veja o Processo do Componente do ATA acima. Verifique se não existe nenhum problema com a CPU ou a memória. |
| Microsoft ATA Gateway\EntitySender Entity Batch Block Size | A quantidade de Atividades de Rede (NAs) em fila de espera a enviar para o ATA Center. | Deve ser inferior ao máximo-1 (máximo predefinido: 1000 000) | Verifique se existe algum componente que tenha atingido o tamanho máximo e esteja a bloquear componentes anteriores até ao NetworkListener. Veja o Processo do Componente do ATA acima. Verifique se não existe nenhum problema com a CPU ou a memória. |
| Microsoft ATA Gateway\EntitySender Batch Send Time | A quantidade de tempo que demorou a enviar o último lote. | Deve ser inferior a 1000 milissegundos na maior parte do tempo | Verifique se existem problemas de rede entre o ATA Gateway e o ATA Center. |
Observação
- Os contadores temporizados estão em milissegundos.
- Por vezes, é mais conveniente monitorizar a lista completa dos contadores com o tipo de gráfico Relatório (exemplo: monitorização em tempo real de todos os contadores)
Contadores de desempenho do ATA Lightweight Gateway
Os contadores de desempenho podem ser utilizados para a gestão de quotas no Lightweight Gateway, para garantir que o ATA não drena demasiados recursos dos controladores de domínio nos quais está instalado. Para medir as limitações de recursos que o ATA impõe no Lightweight Gateway, adicione estes contadores.
Isto é feito ao abrir Monitor de Desempenho e adicionar todos os contadores para o ATA Lightweight Gateway. Os nomes dos objetos do contador de desempenho são: Microsoft ATA Gateway e Microsoft ATA Gateway Updater.
| Contador | Descrição | Limite | Solução de problemas |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager % Máx. de Tempo de CPU | A quantidade máxima de tempo de CPU (em percentagem) que o processo do Lightweight Gateway pode consumir. | Sem limiar. | Esta é a limitação que protege os recursos do controlador de domínio de serem utilizados pelo ATA Lightweight Gateway. Se vir que o processo atinge o limite máximo muitas vezes durante um período de tempo (o processo atinge o limite e, em seguida, começa a diminuir o tráfego), significa que tem de adicionar mais recursos ao servidor que executa o controlador de domínio.. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Commit Memory Max Size | A quantidade máxima de memória consolidada (em bytes) que o processo do Lightweight Gateway pode consumir. | Sem limiar. | Esta é a limitação que protege os recursos do controlador de domínio de serem utilizados pelo ATA Lightweight Gateway. Se vir que o processo atinge o limite máximo muitas vezes durante um período de tempo (o processo atinge o limite e, em seguida, começa a diminuir o tráfego), significa que tem de adicionar mais recursos ao servidor que executa o controlador de domínio. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Working Set Limit Size | A quantidade máxima de memória física (em bytes) que o processo do Lightweight Gateway pode consumir. | Sem limiar. | Esta é a limitação que protege os recursos do controlador de domínio de serem utilizados pelo ATA Lightweight Gateway. Se vir que o processo atinge o limite máximo muitas vezes durante um período de tempo (o processo atinge o limite e, em seguida, começa a diminuir o tráfego), significa que tem de adicionar mais recursos ao servidor que executa o controlador de domínio. |
Para ver o consumo real, veja os seguintes contadores:
| Contador | Descrição | Limite | Solução de problemas |
|---|---|---|---|
| Processo(Microsoft.Tri.Gateway)%Tempo do Processador | A quantidade de tempo de CPU (em percentagem) que o processo do Lightweight Gateway está realmente a consumir. | Sem limiar. | Compare os resultados deste contador com o limite encontrado em GatewayUpdaterResourceManager Tempo Máx. da CPU . Se vir que o processo atinge o limite máximo muitas vezes durante um período de tempo (o processo atinge o limite e, em seguida, começa a diminuir o tráfego), significa que tem de dedicar mais recursos ao Lightweight Gateway. |
| Process(Microsoft.Tri.Gateway)\Bytes Privados | A quantidade de memória consolidada (em bytes) que o processo do Lightweight Gateway está realmente a consumir. | Sem limiar. | Compare os resultados deste contador com o limite encontrado em Tamanho Máximo da Memória de Consolidação de GatewayUpdaterResourceManager. Se vir que o processo atinge o limite máximo muitas vezes durante um período de tempo (o processo atinge o limite e, em seguida, começa a diminuir o tráfego), significa que tem de dedicar mais recursos ao Lightweight Gateway. |
| Process(Microsoft.Tri.Gateway)\Working Set | A quantidade de memória física (em bytes) que o processo do Lightweight Gateway está realmente a consumir. | Sem limiar. | Compare os resultados deste contador com o limite encontrado em Tamanho limite do Conjunto de Trabalho GatewayUpdaterResourceManager. Se vir que o processo atinge o limite máximo muitas vezes durante um período de tempo (o processo atinge o limite e, em seguida, começa a diminuir o tráfego), significa que tem de dedicar mais recursos ao Lightweight Gateway. |
Contadores de desempenho do ATA Center
Pode observar o desempenho em tempo real status do ATA Center ao adicionar os contadores de desempenho do ATA Center.
Isto é feito ao abrir Monitor de Desempenho e adicionar todos os contadores do ATA Center. O nome do objeto do contador de desempenho é: Microsoft ATA Center.
Eis a lista dos contadores do main ATA Center a que deve prestar atenção:
| Contador | Descrição | Limite | Solução de problemas |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | O número de lotes de entidades colocados em fila pelo ATA Center. | Deve ser inferior ao máximo-1 (máximo predefinido: 10 000) | Verifique se existe algum componente que tenha atingido o tamanho máximo e esteja a bloquear componentes anteriores até ao NetworkListener. Veja o Processo de Componente do ATA anterior. Verifique se não existe nenhum problema com a CPU ou a memória. |
| Microsoft ATA Center\NetworkActivityProcessor Tamanho do Bloco de Atividade de Rede | O número de Atividades de Rede (NAs) em fila de espera para processamento. | Deve ser inferior ao máximo-1 (máximo predefinido: 50 000) | Verifique se existe algum componente que tenha atingido o tamanho máximo e esteja a bloquear componentes anteriores até ao NetworkListener. Veja o Processo de Componente do ATA anterior. Verifique se não existe nenhum problema com a CPU ou a memória. |
| Tamanho do Bloco de Atividade de Rede do Microsoft ATA Center\EntityProfiler | O número de Atividades de Rede (NAs) em fila de espera para criação de perfis. | Deve ser inferior ao máximo-1 (máximo predefinido: 100 000) | Verifique se existe algum componente que tenha atingido o tamanho máximo e esteja a bloquear componentes anteriores até ao NetworkListener. Veja o Processo de Componente do ATA anterior. Verifique se não existe nenhum problema com a CPU ou a memória. |
| Microsoft ATA Center\Database * Tamanho do Bloco | O número de Atividades de Rede, de um tipo específico, em fila para serem escritas na base de dados. | Deve ser inferior ao máximo-1 (máximo predefinido: 50 000) | Verifique se existe algum componente que tenha atingido o tamanho máximo e esteja a bloquear componentes anteriores até ao NetworkListener. Veja o Processo de Componente do ATA anterior. Verifique se não existe nenhum problema com a CPU ou a memória. |
Observação
- Os contadores temporizados estão em milissegundos
- Por vezes, é mais conveniente monitorizar a lista completa dos contadores com o tipo de gráfico para Relatório (exemplo: monitorização em tempo real de todos os contadores).
Contadores do sistema operativo
A tabela seguinte lista os contadores do sistema operativo main para prestar atenção a:
| Contador | Descrição | Limite | Solução de problemas |
|---|---|---|---|
| Processador(_Total)% de Tempo do Processador | A percentagem de tempo decorrido que o processador gasta para executar um thread não Inativo. | Menos de 80% em média | Verifique se existe um processo específico que esteja a demorar muito mais tempo com o processador do que deveria. Adicione mais processadores. Reduza a quantidade de tráfego por servidor. O contador "Processor(_Total)% Processor Time" pode ser menos preciso nos servidores virtuais, caso em que a forma mais precisa de medir a falta de energia do processador é através do contador "System\Processor Queue Length". |
| System\Context Switches\seg | A taxa combinada à qual todos os processadores são mudados de um thread para outro. | Menos de 5000*núcleos (núcleos físicos) | Verifique se existe um processo específico que esteja a demorar muito mais tempo com o processador do que deveria. Adicione mais processadores. Reduza a quantidade de tráfego por servidor. O contador "Processor(_Total)% Processor Time" pode ser menos preciso nos servidores virtuais, caso em que a forma mais precisa de medir a falta de energia do processador é através do contador "System\Processor Queue Length". |
| Sistema\Comprimento da Fila do Processador | O número de threads que estão prontos para serem executados e que estão à espera de ser agendados. | Menos de cinco*núcleos (núcleos físicos) | Verifique se existe um processo específico que esteja a demorar muito mais tempo com o processador do que deveria. Adicione mais processadores. Reduza a quantidade de tráfego por servidor. O contador "Processor(_Total)% Processor Time" pode ser menos preciso nos servidores virtuais, caso em que a forma mais precisa de medir a falta de energia do processador é através do contador "System\Processor Queue Length". |
| Memória\MBytes Disponíveis | A quantidade de memória física (RAM) disponível para alocação. | Deve ser superior a 512 | Verifique se existe um processo específico que esteja a ocupar muito mais memória física do que deveria. Aumente a quantidade de memória física. Reduza a quantidade de tráfego por servidor. |
| LogicalDisk(*)\Avg. Disk sec\Read | A latência média para ler dados do disco (deve escolher a unidade de base de dados como a instância). | Deve ser inferior a 10 milissegundos | Verifique se existe um processo específico que esteja a utilizar a unidade de base de dados mais do que deveria. Consulte a equipa/fornecedor de armazenamento se esta unidade pode fornecer a carga de trabalho atual enquanto tem menos de 10 ms de latência. A carga de trabalho atual pode ser determinada com os contadores de utilização do disco. |
| LogicalDisk(*)\Avg. Disk sec\Write | A latência média para escrever dados no disco (deve escolher a unidade de base de dados como a instância). | Deve ser inferior a 10 milissegundos | Verifique se existe um processo específico que esteja a utilizar a unidade de base de dados mais do que deveria. Consulte a sua equipa de armazenamento\fornecedor se esta unidade pode fornecer a carga de trabalho atual enquanto tem menos de 10 ms de latência. A carga de trabalho atual pode ser determinada com os contadores de utilização do disco. |
| \LogicalDisk(*)\Leituras do Disco\seg | A taxa de execução de operações de leitura no disco. | Sem limiar | Os contadores de utilização do disco podem adicionar informações ao resolver problemas de latência de armazenamento. |
| \LogicalDisk(*)\Bytes de Leitura do Disco\seg | O número de bytes por segundo que estão a ser lidos a partir do disco. | Sem limiar | Os contadores de utilização do disco podem adicionar informações ao resolver problemas de latência de armazenamento. |
| \LogicalDisk*\Escritas de Disco\seg | A taxa de execução de operações de escrita no disco. | Sem limiar | Contadores de utilização do disco (podem adicionar informações ao resolver problemas de latência de armazenamento) |
| \LogicalDisk(*)\Bytes de Escrita do Disco\seg | O número de bytes por segundo que estão a ser escritos no disco. | Sem limiar | Os contadores de utilização do disco podem adicionar informações ao resolver problemas de latência de armazenamento. |