Устранение неполадок ATA с помощью счетчиков производительности
Область применения: Advanced Threat Analytics версии 1.9
Счетчики производительности ATA предоставляют сведения о том, насколько хорошо работает каждый компонент ATA. Компоненты в ATA обрабатывают данные последовательно, поэтому при возникновении проблемы это может привести к частичному удалению трафика где-то по цепочке компонентов. Чтобы устранить проблему, необходимо выяснить, какой компонент имеет обратный сток, и устранить проблему в начале цепочки. Используйте данные, найденные в счетчиках производительности, чтобы понять, как работает каждый компонент. Ознакомьтесь с архитектурой ATA , чтобы понять поток внутренних компонентов ATA.
Процесс компонента ATA:
Когда компонент достигает максимального размера, он блокирует отправку в него дополнительных сущностей.
Затем в конечном итоге предыдущий компонент начнет увеличивать свой собственный размер, пока он не заблокирует перед ним компонент от отправки дополнительных сущностей.
Это происходит на всем пути к компоненту NetworkListener, который будет сбрасывать трафик, если он больше не может пересылать сущности.
Получение файлов монитора производительности для устранения неполадок
Чтобы получить файлы монитора производительности (BLG) из различных компонентов ATA:
- Откройте perfmon.
- Остановите набор сборщиков данных с именем Шлюз Microsoft ATA или Центр Microsoft ATA.
- Перейдите в папку набора сборщиков данных (по умолчанию это "C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" или "C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Скопируйте файл BLG, который был недавно изменен.
- Перезапустите набор сборщиков данных с именем Шлюз Microsoft ATA или Центр Microsoft ATA.
Счетчики производительности шлюза ATA
В этом разделе каждая ссылка на шлюз ATA ссылается также на упрощенный шлюз ATA.
Вы можете отслеживать состояние производительности шлюза ATA в режиме реального времени, добавив счетчики производительности шлюза ATA. Это делается путем открытия Монитор производительности и добавления всех счетчиков для шлюза ATA. Имя объекта счетчика производительности: Шлюз Microsoft ATA.
Ниже приведен список счетчиков main шлюза ATA, на которые следует обратить внимание:
| Счетчик | Описание | Порог | Устранение неполадок |
|---|---|---|---|
| Шлюз Microsoft ATA\NetworkListener PEF, синтаксический анализ сообщений\с | Объем трафика, обрабатываемого шлюзом ATA каждую секунду. | Пороговое значение отсутствует | Помогает понять объем трафика, который анализируется шлюзом ATA. |
| Удаленные события PEF NetworkListener\с | Объем трафика, отправляемого шлюзом ATA каждую секунду. | Это число все время должно быть равным нулю (допустимы редкие короткие всплески капель). | Проверьте, есть ли какой-либо компонент, который достиг максимального размера и блокирует предыдущие компоненты вплоть до NetworkListener. См. описанную выше процедуру компонента ATA . Убедитесь, что проблемы с ЦП или памятью отсутствуют. |
| Microsoft ATA Gateway\NetworkListener ETW Удаленные события\с | Объем трафика, отправляемого шлюзом ATA каждую секунду. | Это число все время должно быть равным нулю (допустимы редкие короткие всплески капель). | Проверьте, есть ли какой-либо компонент, который достиг максимального размера и блокирует предыдущие компоненты вплоть до NetworkListener. См. описанную выше процедуру компонента ATA . Убедитесь, что проблемы с ЦП или памятью отсутствуют. |
| Шлюз Microsoft ATA\NetworkActivityTranslator Message Data # Размер блока | Объем трафика, помещенного в очередь для преобразования в сетевые действия (NAs). | Значение должно быть меньше максимума-1 (по умолчанию: 100 000) | Проверьте, есть ли какой-либо компонент, который достиг максимального размера и блокирует предыдущие компоненты вплоть до NetworkListener. См. описанную выше процедуру компонента ATA . Убедитесь, что проблемы с ЦП или памятью отсутствуют. |
| Шлюз Microsoft ATA\EntityResolver Activity Size | Количество сетевых действий (NAs), помещенных в очередь для разрешения. | Значение должно быть меньше максимума-1 (по умолчанию: 10 000) | Проверьте, есть ли какой-либо компонент, который достиг максимального размера и блокирует предыдущие компоненты вплоть до NetworkListener. См. описанную выше процедуру компонента ATA . Убедитесь, что проблемы с ЦП или памятью отсутствуют. |
| Шлюз Microsoft ATA\EntitySender Entity Batch Block Size | Количество сетевых действий (NAs), помещенных в очередь для отправки в Центр ATA. | Значение должно быть меньше максимума-1 (по умолчанию: 1 000 000) | Проверьте, есть ли какой-либо компонент, который достиг максимального размера и блокирует предыдущие компоненты вплоть до NetworkListener. См. описанную выше процедуру компонента ATA . Убедитесь, что проблемы с ЦП или памятью отсутствуют. |
| Шлюз Microsoft ATA\EntitySender Batch Send Time | Время, необходимое для отправки последнего пакета. | Значение должно быть меньше 1000 миллисекундами большую часть времени | Проверьте наличие проблем с сетью между шлюзом ATA и Центром ATA. |
Примечание.
- Счетчики времени находятся в миллисекундах.
- Иногда удобнее отслеживать полный список счетчиков с помощью типа графа отчета (например, мониторинг всех счетчиков в режиме реального времени).
Счетчики производительности упрощенного шлюза ATA
Счетчики производительности можно использовать для управления квотами в упрощенном шлюзе, чтобы убедиться, что ATA не истощает слишком много ресурсов с контроллеров домена, на которых он установлен. Чтобы измерить ограничения ресурсов, применяемые ATA в упрощенном шлюзе, добавьте эти счетчики.
Это можно сделать, открыв Монитор производительности и добавив все счетчики для упрощенного шлюза ATA. Имена объектов счетчиков производительности: Шлюз Microsoft ATA и Microsoft ATA Gateway Updater.
| Счетчик | Описание | Порог | Устранение неполадок |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Cpu Time Max % | Максимальное время ЦП (в процентах), которое может использовать процесс упрощенного шлюза. | Пороговое значение отсутствует. | Это ограничение защищает ресурсы контроллера домена от использования упрощенным шлюзом ATA. Если вы видите, что процесс часто достигает максимального предела в течение определенного периода времени (процесс достигает предела, а затем начинает сбрасывать трафик), это означает, что необходимо добавить дополнительные ресурсы на сервер, на котором запущен контроллер домена. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Commit Memory Max Size | Максимальный объем зафиксированной памяти (в байтах), которую может использовать процесс упрощенного шлюза. | Пороговое значение отсутствует. | Это ограничение защищает ресурсы контроллера домена от использования упрощенным шлюзом ATA. Если вы видите, что процесс достигает максимального предела часто в течение определенного периода времени (процесс достигает предела, а затем начинает сбрасывать трафик), это означает, что необходимо добавить дополнительные ресурсы на сервер, на котором работает контроллер домена. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Рабочий размер ограничения набора | Максимальный объем физической памяти (в байтах), который может использовать процесс упрощенного шлюза. | Пороговое значение отсутствует. | Это ограничение защищает ресурсы контроллера домена от использования упрощенным шлюзом ATA. Если вы видите, что процесс достигает максимального предела часто в течение определенного периода времени (процесс достигает предела, а затем начинает сбрасывать трафик), это означает, что необходимо добавить дополнительные ресурсы на сервер, на котором работает контроллер домена. |
Чтобы увидеть фактическое потребление, обратитесь к следующим счетчикам:
| Счетчик | Описание | Порог | Устранение неполадок |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Processor Time | Количество времени ЦП (в процентах), которое фактически потребляет процесс упрощенного шлюза. | Пороговое значение отсутствует. | Сравните результаты этого счетчика с ограничением, найденным в параметре GatewayUpdaterResourceManager Cpu Time Max %. Если вы видите, что процесс достигает максимального предела часто в течение определенного периода времени (процесс достигает предела, а затем начинает сбрасывать трафик), это означает, что вам нужно выделить больше ресурсов для упрощенного шлюза. |
| Process(Microsoft.Tri.Gateway)\Private Bytes | Объем зафиксированной памяти (в байтах), которую фактически потребляет процесс упрощенного шлюза. | Пороговое значение отсутствует. | Сравните результаты этого счетчика с ограничением, найденным в параметре Максимальный размер памяти фиксации GatewayUpdaterResourceManager. Если вы видите, что процесс достигает максимального предела часто в течение определенного периода времени (процесс достигает предела, а затем начинает сбрасывать трафик), это означает, что вам нужно выделить больше ресурсов для упрощенного шлюза. |
| Process(Microsoft.Tri.Gateway)\Working Set | Объем физической памяти (в байтах), который фактически потребляет процесс упрощенного шлюза. | Пороговое значение отсутствует. | Сравните результаты этого счетчика с ограничением, найденным в разделе Размер ограничения рабочего набора GatewayUpdaterResourceManager. Если вы видите, что процесс достигает максимального предела часто в течение определенного периода времени (процесс достигает предела, а затем начинает сбрасывать трафик), это означает, что вам нужно выделить больше ресурсов для упрощенного шлюза. |
Счетчики производительности центра ATA
Вы можете отслеживать состояние производительности центра ATA в режиме реального времени, добавив счетчики производительности Центра ATA.
Это делается путем открытия Монитор производительности и добавления всех счетчиков для центра ATA. Имя объекта счетчика производительности: Центр Microsoft ATA.
Ниже приведен список счетчиков центра MAIN ATA, на которые следует обратить внимание:
| Счетчик | Описание | Порог | Устранение неполадок |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | Количество пакетов сущностей, помещенных в очередь Центром ATA. | Значение должно быть меньше максимума-1 (по умолчанию: 10 000) | Проверьте, есть ли какой-либо компонент, который достиг максимального размера и блокирует предыдущие компоненты вплоть до NetworkListener. См. предыдущий процесс компонента ATA. Убедитесь, что проблемы с ЦП или памятью отсутствуют. |
| Microsoft ATA Center\NetworkActivityProcessor Network Activity Block Size | Количество сетевых действий (NAs), помещенных в очередь для обработки. | Значение должно быть меньше максимума-1 (по умолчанию: 50 000) | Проверьте, есть ли какой-либо компонент, который достиг максимального размера и блокирует предыдущие компоненты вплоть до NetworkListener. См. предыдущий процесс компонента ATA. Убедитесь, что проблемы с ЦП или памятью отсутствуют. |
| Microsoft ATA Center\EntityProfiler Network Activity Block Size | Количество сетевых действий (NAs), помещенных в очередь для профилирования. | Значение должно быть меньше максимума-1 (по умолчанию: 100 000) | Проверьте, есть ли какой-либо компонент, который достиг максимального размера и блокирует предыдущие компоненты вплоть до NetworkListener. См. предыдущий процесс компонента ATA. Убедитесь, что проблемы с ЦП или памятью отсутствуют. |
| Microsoft ATA Center\Database * Размер блока | Количество сетевых действий определенного типа, помещенных в очередь для записи в базу данных. | Значение должно быть меньше максимума-1 (по умолчанию: 50 000) | Проверьте, есть ли какой-либо компонент, который достиг максимального размера и блокирует предыдущие компоненты вплоть до NetworkListener. См. предыдущий процесс компонента ATA. Убедитесь, что проблемы с ЦП или памятью отсутствуют. |
Примечание.
- Счетчики времени в миллисекундах
- Иногда удобнее отслеживать полный список счетчиков с помощью типа графа для отчета (например, мониторинг всех счетчиков в режиме реального времени).
Счетчики операционной системы
В следующей таблице перечислены счетчики main операционной системы, на которые следует обратить внимание:
| Счетчик | Описание | Порог | Устранение неполадок |
|---|---|---|---|
| Процессор(_Total)% время процессора | Процент затраченного времени, затраченного процессором на выполнение потока, отличного от простоя. | Менее 80% в среднем | Проверьте, существует ли определенный процесс, который занимает гораздо больше времени процессора, чем должно быть. Добавление дополнительных процессоров. Уменьшите объем трафика на сервер. Счетчик "Процессор(_Total)% процессорного времени" может быть менее точным на виртуальных серверах. В этом случае более точным способом измерения нехватки мощности процессора является счетчик "Длина очереди system\processor". |
| System\Context Switches\sec | Комбинированная скорость, с которой все процессоры переключаются из одного потока в другой. | Менее 5000*ядер (физические ядра) | Проверьте, существует ли определенный процесс, который занимает гораздо больше времени процессора, чем должно быть. Добавление дополнительных процессоров. Уменьшите объем трафика на сервер. Счетчик "Процессор(_Total)% процессорного времени" может быть менее точным на виртуальных серверах. В этом случае более точным способом измерения нехватки мощности процессора является счетчик "Длина очереди system\processor". |
| Система\Длина очереди процессора | Количество потоков, готовых к выполнению и ожидающих планирования. | Менее пяти ядер (физические ядра) | Проверьте, существует ли определенный процесс, который занимает гораздо больше времени процессора, чем должно быть. Добавление дополнительных процессоров. Уменьшите объем трафика на сервер. Счетчик "Процессор(_Total)% процессорного времени" может быть менее точным на виртуальных серверах. В этом случае более точным способом измерения нехватки мощности процессора является счетчик "Длина очереди system\processor". |
| Память\Доступные Мбайты | Объем физической памяти (ОЗУ), доступный для выделения. | Должно быть больше 512 | Проверьте, существует ли определенный процесс, который занимает гораздо больше физической памяти, чем должно быть. Увеличьте объем физической памяти. Уменьшите объем трафика на сервер. |
| LogicalDisk(*)\Avg. Disk sec\Read | Средняя задержка для чтения данных с диска (в качестве экземпляра следует выбрать диск базы данных). | Значение должно быть меньше 10 миллисекунда | Проверьте, существует ли определенный процесс, который использует диск базы данных больше, чем должно быть. Проконсультируйтесь с командой или поставщиком по хранению, если этот диск может обеспечить текущую рабочую нагрузку с задержкой менее 10 мс. Текущую рабочую нагрузку можно определить с помощью счетчиков использования диска. |
| LogicalDisk(*)\Avg. Disk sec\Write | Средняя задержка при записи данных на диск (в качестве экземпляра следует выбрать диск базы данных). | Значение должно быть меньше 10 миллисекунда | Проверьте, существует ли определенный процесс, который использует диск базы данных больше, чем должно быть. Проконсультируйтесь с командой по хранению или поставщиком, если этот диск может обеспечить текущую рабочую нагрузку с задержкой менее 10 мс. Текущую рабочую нагрузку можно определить с помощью счетчиков использования диска. |
| \LogicalDisk(*)\Disk Reads\sec | Скорость выполнения операций чтения на диск. | Пороговое значение отсутствует | Счетчики использования диска могут добавлять аналитические сведения при устранении неполадок с задержкой хранилища. |
| \LogicalDisk(*)\Disk Read Bytes\sec | Количество байтов в секунду, считываемых с диска. | Пороговое значение отсутствует | Счетчики использования диска могут добавлять аналитические сведения при устранении неполадок с задержкой хранилища. |
| \LogicalDisk*\Disk Writes\sec | Скорость выполнения операций записи на диск. | Пороговое значение отсутствует | Счетчики использования диска (могут добавлять аналитические сведения при устранении неполадок с задержкой хранилища) |
| \LogicalDisk(*)\Disk Write Bytes\sec | Количество байтов в секунду, записываемых на диск. | Пороговое значение отсутствует | Счетчики использования диска могут добавлять аналитические сведения при устранении неполадок с задержкой хранилища. |