Felsöka ATA med hjälp av prestandaräknarna
Gäller för: Advanced Threat Analytics version 1.9
ATA-prestandaräknarna ger insikt i hur väl varje komponent i ATA presterar. Komponenterna i ATA bearbetar data sekventiellt, så att när det uppstår ett problem kan det orsaka partiell förlorad trafik någonstans längs komponentkedjan. För att åtgärda problemet måste du ta reda på vilken komponent som slår tillbaka och åtgärda problemet i början av kedjan. Använd de data som finns i prestandaräknarna för att förstå hur varje komponent fungerar. Se ATA-arkitekturen för att förstå flödet av interna ATA-komponenter.
ATA-komponentprocess:
När en komponent når sin maximala storlek blockerar den föregående komponenten från att skicka fler entiteter till den.
Sedan börjar den tidigare komponenten att öka sin egen storlek tills den blockerar komponenten före den, från att skicka fler entiteter.
Detta sker hela vägen tillbaka till NetworkListener-komponenten, som släpper trafik när den inte längre kan vidarebefordra entiteter.
Hämta prestandaövervakningsfiler för felsökning
Så här hämtar du prestandaövervakningsfilerna (BLG) från de olika ATA-komponenterna:
- Öppna perfmon.
- Stoppa datainsamlaruppsättningen med namnet : Microsoft ATA Gateway eller Microsoft ATA Center.
- Gå till mappen datainsamlaruppsättning (som standard är detta "C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" eller "C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Kopiera BLG-filen som senast ändrades.
- Starta om datainsamlaruppsättningen med namnet : Microsoft ATA Gateway eller Microsoft ATA Center.
Prestandaräknare för ATA Gateway
I det här avsnittet refererar varje referens till ATA Gateway även till ATA Lightweight Gateway.
Du kan se prestandastatusen i realtid för ATA Gateway genom att lägga till ATA Gateways prestandaräknare. Detta görs genom att öppna Prestandaövervakaren och lägga till alla räknare för ATA Gateway. Namnet på prestandaräknarobjektet är: Microsoft ATA Gateway.
Här är listan över de viktigaste ATA Gateway-räknarna att vara uppmärksamma på:
| Räknare | Beskrivning | Tröskel | Felsökning |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF Parsade meddelanden\Sek | Mängden trafik som bearbetas av ATA Gateway varje sekund. | Inget tröskelvärde | Hjälper dig att förstå mängden trafik som parsas av ATA Gateway. |
| NetworkListener PEF tappade händelser\sek | Mängden trafik som släpps av ATA Gateway varje sekund. | Det här talet ska vara noll hela tiden (sällsynta korta droppar är acceptabla). | Kontrollera om det finns någon komponent som har nått sin maximala storlek och blockerar tidigare komponenter hela vägen till NetworkListener. Se ATA-komponentprocessen ovan. Kontrollera att det inte finns något problem med processorn eller minnet. |
| Microsoft ATA Gateway\NetworkListener ETW Dropped Events\Sec | Mängden trafik som släpps av ATA Gateway varje sekund. | Det här talet ska vara noll hela tiden (sällsynta korta droppar är acceptabla). | Kontrollera om det finns någon komponent som har nått sin maximala storlek och blockerar tidigare komponenter hela vägen till NetworkListener. Se ATA-komponentprocessen ovan. Kontrollera att det inte finns något problem med processorn eller minnet. |
| Microsoft ATA Gateway\NetworkActivityTranslator Meddelandedata # Blockstorlek | Mängden trafik som köas för översättning till nätverksaktiviteter (NA). | Bör vara mindre än maxvärdet 1 (standard max: 100 000) | Kontrollera om det finns någon komponent som har nått sin maximala storlek och blockerar tidigare komponenter hela vägen till NetworkListener. Se ATA-komponentprocessen ovan. Kontrollera att det inte finns något problem med processorn eller minnet. |
| Aktivitetsblocksstorlek för Microsoft ATA Gateway\EntityResolver | Antalet nätverksaktiviteter (NA) i kö för lösning. | Bör vara mindre än maxvärdet 1 (standard max: 10 000) | Kontrollera om det finns någon komponent som har nått sin maximala storlek och blockerar tidigare komponenter hela vägen till NetworkListener. Se ATA-komponentprocessen ovan. Kontrollera att det inte finns något problem med processorn eller minnet. |
| Blockstorlek för Microsoft ATA Gateway\EntitySender Entity Batch | Mängden nätverksaktiviteter i kö som ska skickas till ATA Center. | Bör vara mindre än maxvärdet 1 (standardvärdet är högst 1 000 000) | Kontrollera om det finns någon komponent som har nått sin maximala storlek och blockerar tidigare komponenter hela vägen till NetworkListener. Se ATA-komponentprocessen ovan. Kontrollera att det inte finns något problem med processorn eller minnet. |
| Microsoft ATA Gateway\EntitySender Batch Send Time | Hur lång tid det tog att skicka den sista batchen. | Bör vara mindre än 1 000 millisekunder för det mesta | Kontrollera om det finns några nätverksproblem mellan ATA Gateway och ATA Center. |
Obs!
- Tidsinställda räknare anges i millisekunder.
- Det är ibland enklare att övervaka den fullständiga listan över räknarna med hjälp av rapportdiagramtypen (exempel: realtidsövervakning av alla räknare)
Prestandaräknare för ATA Lightweight Gateway
Prestandaräknarna kan användas för kvothantering i Lightweight Gateway för att se till att ATA inte tömmer för många resurser från de domänkontrollanter som den är installerad på. Om du vill mäta de resursbegränsningar som ATA tillämpar på Lightweight Gateway lägger du till dessa räknare.
Detta görs genom att öppna Prestandaövervakaren och lägga till alla räknare för ATA Lightweight Gateway. Namnen på prestandaräknarobjekten är: Microsoft ATA Gateway och Microsoft ATA Gateway Updater.
| Räknare | Beskrivning | Tröskel | Felsökning |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU Time Max % | Den maximala cpu-tid (i procent) som Lightweight Gateway-processen kan använda. | Inget tröskelvärde. | Det här är den begränsning som skyddar domänkontrollantresurserna från att användas av ATA Lightweight Gateway. Om du ser att processen når den maximala gränsen ofta under en tidsperiod (processen når gränsen och sedan börjar släppa trafik) innebär det att du måste lägga till fler resurser på servern som kör domänkontrollanten.. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Commit Memory Max Size | Den maximala mängden incheckat minne (i byte) som Lightweight Gateway-processen kan använda. | Inget tröskelvärde. | Det här är den begränsning som skyddar domänkontrollantresurserna från att användas av ATA Lightweight Gateway. Om du ser att processen når den maximala gränsen ofta under en tidsperiod (processen når gränsen och sedan börjar släppa trafik) innebär det att du måste lägga till fler resurser på servern som kör domänkontrollanten. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Storlek på arbetsuppsättningsgräns | Den maximala mängden fysiskt minne (i byte) som Lightweight Gateway-processen kan använda. | Inget tröskelvärde. | Det här är den begränsning som skyddar domänkontrollantresurserna från att användas av ATA Lightweight Gateway. Om du ser att processen når den maximala gränsen ofta under en tidsperiod (processen når gränsen och sedan börjar släppa trafik) innebär det att du måste lägga till fler resurser på servern som kör domänkontrollanten. |
Se följande räknare för att se din faktiska förbrukning:
| Räknare | Beskrivning | Tröskel | Felsökning |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Processortid | Den cpu-tid (i procent) som Lightweight Gateway-processen faktiskt förbrukar. | Inget tröskelvärde. | Jämför resultatet av den här räknaren med den gräns som finns i GatewayUpdaterResourceManager CPU Time Max %. Om du ser att processen når den maximala gränsen ofta under en tidsperiod (processen når gränsen och sedan börjar släppa trafik) innebär det att du måste dedikera fler resurser till Lightweight Gateway. |
| Process(Microsoft.Tri.Gateway)\Privata byte | Mängden incheckat minne (i byte) som Lightweight Gateway-processen faktiskt förbrukar. | Inget tröskelvärde. | Jämför resultatet av den här räknaren med den gräns som finns i GatewayUpdaterResourceManager Commit Memory Max Size. Om du ser att processen når den maximala gränsen ofta under en tidsperiod (processen når gränsen och sedan börjar släppa trafik) innebär det att du måste dedikera fler resurser till Lightweight Gateway. |
| Process(Microsoft.Tri.Gateway)\Working Set | Mängden fysiskt minne (i byte) som Lightweight Gateway-processen faktiskt förbrukar. | Inget tröskelvärde. | Jämför resultatet av den här räknaren med den gräns som finns i GatewayUpdaterResourceManager Arbetsuppsättningsgränsstorlek. Om du ser att processen når den maximala gränsen ofta under en tidsperiod (processen når gränsen och sedan börjar släppa trafik) innebär det att du måste dedikera fler resurser till Lightweight Gateway. |
Prestandaräknare för ATA Center
Du kan se prestandastatusen i realtid för ATA Center genom att lägga till ATA Centers prestandaräknare.
Detta görs genom att öppna Prestandaövervakaren och lägga till alla räknare för ATA Center. Namnet på prestandaräknarobjektet är: Microsoft ATA Center.
Här är listan över de viktigaste ATA Center-räknarna att vara uppmärksamma på:
| Räknare | Beskrivning | Tröskel | Felsökning |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver– batchblockstorlek | Antalet entitetsbatch i kö av ATA Center. | Bör vara mindre än maxvärdet 1 (standard max: 10 000) | Kontrollera om det finns någon komponent som har nått sin maximala storlek och blockerar tidigare komponenter hela vägen till NetworkListener. Se föregående ATA-komponentprocess. Kontrollera att det inte finns något problem med processorn eller minnet. |
| Blockstorlek för nätverksaktivitet i Microsoft ATA Center\NetworkActivityProcessor | Antalet nätverksaktiviteter (NA) i kö för bearbetning. | Bör vara mindre än maxvärdet 1 (standardvärdet är högst 50 000) | Kontrollera om det finns någon komponent som har nått sin maximala storlek och blockerar tidigare komponenter hela vägen till NetworkListener. Se föregående ATA-komponentprocess. Kontrollera att det inte finns något problem med processorn eller minnet. |
| Blockstorlek för nätverksaktivitet i Microsoft ATA Center\EntityProfiler | Antalet nätverksaktiviteter (NA) i kö för profilering. | Bör vara mindre än maxvärdet 1 (standard max: 100 000) | Kontrollera om det finns någon komponent som har nått sin maximala storlek och blockerar tidigare komponenter hela vägen till NetworkListener. Se föregående ATA-komponentprocess. Kontrollera att det inte finns något problem med processorn eller minnet. |
| Microsoft ATA Center\Database * Blockstorlek | Antalet nätverksaktiviteter av en viss typ som ska skrivas till databasen. | Bör vara mindre än maxvärdet 1 (standardvärdet är högst 50 000) | Kontrollera om det finns någon komponent som har nått sin maximala storlek och blockerar tidigare komponenter hela vägen till NetworkListener. Se föregående ATA-komponentprocess. Kontrollera att det inte finns något problem med processorn eller minnet. |
Obs!
- Tidsinställda räknare anges i millisekunder
- Ibland är det enklare att övervaka den fullständiga listan över räknare med hjälp av graftypen för Rapport (till exempel realtidsövervakning av alla räknare).
Operativsystemräknare
I följande tabell visas de viktigaste operativsystemräknarna att vara uppmärksamma på:
| Räknare | Beskrivning | Tröskel | Felsökning |
|---|---|---|---|
| Processor(_Total)% processortid | Procentandelen förfluten tid som processorn ägnar åt att köra en tråd som inte är inaktiv. | Mindre än 80 % i genomsnitt | Kontrollera om det finns en specifik process som tar mycket mer processortid än den borde. Lägg till fler processorer. Minska mängden trafik per server. Räknaren "Processor(_Total)% processortid" kan vara mindre exakt på virtuella servrar, i vilket fall det mer exakta sättet att mäta bristen på processorkraft är via räknaren "System\Processor Queue Length". |
| System\Kontextväxlar\sek | Den kombinerade hastighet med vilken alla processorer växlas från en tråd till en annan. | Mindre än 5 000*kärnor (fysiska kärnor) | Kontrollera om det finns en specifik process som tar mycket mer processortid än den borde. Lägg till fler processorer. Minska mängden trafik per server. Räknaren "Processor(_Total)% processortid" kan vara mindre exakt på virtuella servrar, i vilket fall det mer exakta sättet att mäta bristen på processorkraft är via räknaren "System\Processor Queue Length". |
| System\Processorkölängd | Antalet trådar som är redo att köras och väntar på att schemaläggas. | Mindre än fem*kärnor (fysiska kärnor) | Kontrollera om det finns en specifik process som tar mycket mer processortid än den borde. Lägg till fler processorer. Minska mängden trafik per server. Räknaren "Processor(_Total)% processortid" kan vara mindre exakt på virtuella servrar, i vilket fall det mer exakta sättet att mäta bristen på processorkraft är via räknaren "System\Processor Queue Length". |
| Memory\Available MBytes | Mängden fysiskt minne (RAM) som är tillgängligt för allokering. | Bör vara mer än 512 | Kontrollera om det finns en specifik process som tar mycket mer fysiskt minne än det borde. Öka mängden fysiskt minne. Minska mängden trafik per server. |
| LogicalDisk(*)\Avg. Disk sec\Read | Den genomsnittliga svarstiden för att läsa data från disken (du bör välja databasenheten som instans). | Bör vara mindre än 10 millisekunder | Kontrollera om det finns en specifik process som använder databasenheten mer än den borde. Kontakta lagringsteamet/leverantören om den här enheten kan leverera den aktuella arbetsbelastningen med mindre än 10 ms svarstid. Den aktuella arbetsbelastningen kan fastställas med hjälp av diskanvändningsräknarna. |
| LogicalDisk(*)\Avg. Disk sec\Write | Den genomsnittliga svarstiden för att skriva data till disken (du bör välja databasenheten som instans). | Bör vara mindre än 10 millisekunder | Kontrollera om det finns en specifik process som använder databasenheten mer än den borde. Kontakta lagringsteamet/leverantören om den här enheten kan leverera den aktuella arbetsbelastningen med mindre än 10 ms svarstid. Den aktuella arbetsbelastningen kan fastställas med hjälp av diskanvändningsräknarna. |
| \LogicalDisk(*)\Disk reads\sec | Frekvensen för att utföra läsåtgärder på disken. | Inget tröskelvärde | Diskanvändningsräknare kan lägga till insikter vid felsökning av lagringsfördröjning. |
| \LogicalDisk(*)\Disk Read Bytes\sec | Antalet byte per sekund som läss från disken. | Inget tröskelvärde | Diskanvändningsräknare kan lägga till insikter vid felsökning av lagringsfördröjning. |
| \LogicalDisk*\Diskskrivningar\sek | Frekvensen för att utföra skrivåtgärder till disken. | Inget tröskelvärde | Diskanvändningsräknare (kan lägga till insikter när du felsöker lagringsfördröjningen) |
| \LogicalDisk(*)\Disk write bytes\sec | Antalet byte per sekund som skrivs till disken. | Inget tröskelvärde | Diskanvändningsräknare kan lägga till insikter vid felsökning av lagringsfördröjning. |