使用性能計數器對 ATA 進行疑難解答

適用於：Advanced Threat Analytics 1.9 版

ATA 性能計數器可讓您深入瞭解 ATA 的每個元件的執行效能。 ATA 中的元件會循序處理數據，因此當發生問題時，可能會造成部分流量沿著元件鏈結的某處捨棄。 若要修正問題，您必須找出哪個元件正在反向確認，並在鏈結開頭修正問題。 使用性能計數器中找到的數據來瞭解每個元件的運作方式。 請參閱 ATA 架構 以了解內部 ATA 元件的流程。

ATA 元件程式：

1. 當元件達到其大小上限時，它會封鎖先前的元件傳送更多實體給它。

2. 然後，最後上一個元件會開始增加 自己的 大小，直到它封鎖元件之前，不會傳送更多實體。

3. 這會一直回溯至 NetworkListener 元件，這會在無法再轉送實體時捨棄流量。

擷取效能監視器檔案以進行疑難解答

若要從各種 ATA 元件擷取 BLG) (效能監視器檔案：

1. 開啟 perfmon。
2. 停止名為： Microsoft ATA 閘道或MICROSOFT ATA 中心的數據收集器 集。
3. 根據預設，移至 (的數據收集器集資料夾，這是 “C：\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets” 或 “C：\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets”) 。
4. 複製最近修改過的 BLG 檔案。
5. 重新啟動名為： Microsoft ATA 閘道或MICROSOFT ATA 中心的數據收集器 集合器集。

ATA 閘道性能計數器

在本節中，ATA 閘道的每個參考也會參考 ATA 輕量型閘道。

您可以藉由新增 ATA 閘道的性能計數器來觀察 ATA 閘道的即時效能狀態。 做法是開啟 效能監視器，並新增 ATA 閘道的所有計數器。 性能計數器對象的名稱是：Microsoft ATA 閘道。

以下是要注意的主要 ATA 閘道計數器清單：

計數器	描述	臨界值	疑難排解
Microsoft ATA 閘道\NetworkListener PEF 剖析的訊息\Sec	ATA 閘道每秒處理的流量。	無臨界值	協助您瞭解 ATA 閘道正在剖析的流量。
NetworkListener PEF Dropped Events\Sec	ATA 閘道每秒捨棄的流量。	此數目應為零， () 可接受的罕見短暫下降高載。	檢查是否有任何元件達到其大小上限，並且一路封鎖先前的元件到 NetworkListener。 請參閱上述 的 ATA 元件進程 。 檢查 CPU 或記憶體沒有任何問題。
Microsoft ATA 閘道\NetworkListener ETW Dropped Events\Sec	ATA 閘道每秒捨棄的流量。	此數目應為零， () 可接受的罕見短暫下降高載。	檢查是否有任何元件達到其大小上限，並且一路封鎖先前的元件到 NetworkListener。 請參閱上述 的 ATA 元件進程 。 檢查 CPU 或記憶體沒有任何問題。
Microsoft ATA 閘道\NetworkActivityTranslator 訊息數據 # 區塊大小	佇列以轉譯至網路活動 (NAs) 的流量。	應小於最大 1 (預設上限：100,000)	檢查是否有任何元件達到其大小上限，並且一路封鎖先前的元件到 NetworkListener。 請參閱上述 的 ATA 元件進程 。 檢查 CPU 或記憶體沒有任何問題。
Microsoft ATA 閘道\EntityResolver 活動區塊大小	(NA) 排入佇列以進行解析的網路活動數目。	應小於預設最大值 1 (：10,000)	檢查是否有任何元件達到其大小上限，並且一路封鎖先前的元件到 NetworkListener。 請參閱上述 的 ATA 元件進程 。 檢查 CPU 或記憶體沒有任何問題。
Microsoft ATA 閘道\EntitySender 實體批次區塊大小	(NA 的網路活動數量) 排入佇列以傳送至 ATA 中心。	應小於預設最大值 1 (：1,000,000)	檢查是否有任何元件達到其大小上限，並且一路封鎖先前的元件到 NetworkListener。 請參閱上述 的 ATA 元件進程 。 檢查 CPU 或記憶體沒有任何問題。
Microsoft ATA 閘道\EntitySender 批次傳送時間	傳送最後一個批次所花費的時間量。	在大部分情況下應該小於 1000 毫秒	檢查 ATA 閘道與 ATA 中心之間是否有任何網路問題。

注意事項

• 定時計數器以毫秒為單位。
• 使用 報 表圖形類型來監視計數器的完整清單有時會更方便 (範例：即時監視所有計數器)

ATA 輕量型閘道性能計數器

性能計數器可用於輕量型閘道中的配額管理，以確保 ATA 不會從其安裝所在的域控制器中清空太多資源。 若要測量 ATA 在輕量型閘道上強制執行的資源限制，請新增這些計數器。

做法是開啟 效能監視器，並新增 ATA 輕量型閘道的所有計數器。 性能計數器物件的名稱為： Microsoft ATA 閘道 和 MICROSOFT ATA 閘道更新程式。

計數器	描述	臨界值	疑難排解
Microsoft ATA 閘道更新程式\GatewayUpdaterResourceManager CPU 時間上限 %	以輕量型閘道進程可以取用的百分比) (的最大 CPU 時間量。	沒有臨界值。	這是保護域控制器資源不受 ATA 輕量型閘道使用的限制。 如果您看到進程通常在一段時間內達到最大限制， (進程達到限制，然後開始卸載流量) 這表示您需要將更多資源新增至執行域控制器的伺服器。
Microsoft ATA 閘道更新程式\GatewayUpdaterResourceManager 認可記憶體大小上限	) 輕量型閘道進程可以取用的最大認可記憶體 (以位元組為單位。	沒有臨界值。	這是保護域控制器資源不受 ATA 輕量型閘道使用的限制。 如果您看到進程通常會在一段時間內達到最大限制， (進程達到限制，然後開始卸載流量) 這表示您需要將更多資源新增至執行域控制器的伺服器。
Microsoft ATA 閘道更新程式\GatewayUpdaterResourceManager 工作集限制大小	以位元組為單位的物理記憶體 (數量上限，) 羽量型網關進程可以取用。	沒有臨界值。	這是保護域控制器資源不受 ATA 輕量型閘道使用的限制。 如果您看到進程通常會在一段時間內達到最大限制， (進程達到限制，然後開始卸載流量) 這表示您需要將更多資源新增至執行域控制器的伺服器。

若要查看實際耗用量，請參閱下列計數器：

計數器	描述	臨界值	疑難排解
處理 (Microsoft.Tri.Gateway) %Processor 時間	以輕量型閘道程序實際耗用) 百分比 (CPU 時間量。	沒有臨界值。	比較此計數器的結果與 GatewayUpdaterResourceManager CPU 時間最大百分比中所找到的限制。 如果您看到進程通常會在一段時間內達到最大限制， (進程達到限制，然後開始卸載流量) 這表示您需要將更多資源投入輕量型網關。
處理 (Microsoft.Tri.Gateway) \Private Bytes	輕量型閘道程式實際耗用的已認可記憶體數量 (位元組) 。	沒有臨界值。	比較此計數器的結果與 GatewayUpdaterResourceManager 認可記憶體大小上限中所找到的限制。 如果您看到進程通常會在一段時間內達到最大限制， (進程達到限制，然後開始卸載流量) 這表示您需要將更多資源投入輕量型網關。
處理 (Microsoft.Tri.Gateway) \Working Set	輕量型閘道程式實際耗用的物理記憶體數量 (位元組) 。	沒有臨界值。	將此計數器的結果與 GatewayUpdaterResourceManager 工作集限制大小中找到的限制進行比較。 如果您看到進程通常會在一段時間內達到最大限制， (進程達到限制，然後開始卸載流量) 這表示您需要將更多資源投入輕量型網關。

ATA 中心性能計數器

您可以藉由新增 ATA 中心的性能計數器來觀察 ATA 中心的即時效能狀態。

這可藉由開啟 效能監視器 並新增 ATA 中心的所有計數器來完成。 性能計數器對象的名稱是：Microsoft ATA 中心。

以下是要注意的主要 ATA 中心計數器清單：

計數器	描述	臨界值	疑難排解
Microsoft ATA 中心\EntityReceiver 實體批次區塊大小	ATA 中心排入佇列的實體批次數目。	應小於預設最大值 1 (：10,000)	檢查是否有任何元件達到其大小上限，並且一路封鎖先前的元件到 NetworkListener。 請參閱上述 ATA 元件進程。 檢查 CPU 或記憶體沒有任何問題。
Microsoft ATA 中心\NetworkActivityProcessor 網络活動區塊大小	) 佇列處理的網路活動 (NA 數目。	應小於預設最大值 1 (：50,000)	檢查是否有任何元件達到其大小上限，並且一路封鎖先前的元件到 NetworkListener。 請參閱上述 ATA 元件進程。 檢查 CPU 或記憶體沒有任何問題。
Microsoft ATA 中心\EntityProfiler 網络活動區塊大小	(NA) 佇列進行分析的網路活動數目。	應小於最大 1 (預設上限：100,000)	檢查是否有任何元件達到其大小上限，並且一路封鎖先前的元件到 NetworkListener。 請參閱上述 ATA 元件進程。 檢查 CPU 或記憶體沒有任何問題。
Microsoft ATA 中心\資料庫 * 區塊大小	特定類型的網路活動數目，已排入佇列以寫入資料庫。	應小於預設最大值 1 (：50,000)	檢查是否有任何元件達到其大小上限，並且一路封鎖先前的元件到 NetworkListener。 請參閱上述 ATA 元件進程。 檢查 CPU 或記憶體沒有任何問題。

注意事項

• 定時計數器以毫秒為單位
• 使用報表 (範例的圖形類型來監視計數器的完整清單有時會更方便：即時監視所有計數器) 。

操作係統計數器

下表列出要注意的主要操作係統計數器：

計數器	描述	臨界值	疑難排解
處理器 (_Total) % 處理器時間	處理器用來執行非閑置線程的已耗用時間百分比。	平均小於 80%	檢查是否有特定進程所花費的處理器時間比它應該花費的時間多很多。 新增更多處理器。 減少每部伺服器的流量。 在虛擬伺服器上，“Processor (_Total) % Processor Time” 計數器可能較不精確，在此情況下，測量處理器電源不足的更精確方式是透過 “System\Processor Queue Length” 計數器。
System\Context Switches\sec	所有處理器從一個線程切換到另一個線程的合併速率。	實體核心 (小於 5000*核心)	檢查是否有特定進程所花費的處理器時間比它應該花費的時間多很多。 新增更多處理器。 減少每部伺服器的流量。 在虛擬伺服器上，“Processor (_Total) % Processor Time” 計數器可能較不精確，在此情況下，測量處理器電源不足的更精確方式是透過 “System\Processor Queue Length” 計數器。
System\Processor Queue Length	準備執行並正在等候排程的線程數目。	實體核心 (少於五個*核心)	檢查是否有特定進程所花費的處理器時間比它應該花費的時間多很多。 新增更多處理器。 減少每部伺服器的流量。 在虛擬伺服器上，“Processor (_Total) % Processor Time” 計數器可能較不精確，在此情況下，測量處理器電源不足的更精確方式是透過 “System\Processor Queue Length” 計數器。
Memory\Available MBytes	可用來配置的物理記憶體 (RAM) 量。	應大於 512	檢查是否有特定進程所耗用的物理記憶體超出其預期。 增加物理記憶體數量。 減少每部伺服器的流量。
LogicalDisk (*) \Avg. Disk sec\Read	從磁碟讀取數據的平均延遲 (您應該選擇資料庫磁碟驅動器作為實例) 。	應該小於 10 毫秒	檢查是否有特定進程使用資料庫磁碟驅動器超出其預期。 如果此磁碟驅動器可在延遲少於 10 毫秒的情況下提供目前的工作負載，請洽詢您的記憶體小組/廠商。 目前的工作負載可以使用磁碟使用率計數器來判斷。
LogicalDisk (*) \Avg. Disk sec\Write	將數據寫入磁碟的平均延遲 (您應該選擇資料庫磁碟驅動器作為實例) 。	應該小於 10 毫秒	檢查是否有特定進程使用資料庫磁碟驅動器超出其預期。 如果此磁碟驅動器可在延遲少於 10 毫秒的情況下提供目前的工作負載，請洽詢您的記憶體小組\廠商。 目前的工作負載可以使用磁碟使用率計數器來判斷。
\LogicalDisk (*) \Disk Reads\sec	對磁碟執行讀取作業的速率。	無臨界值	針對記憶體延遲進行疑難解答時，磁碟使用率計數器可以新增深入解析。
\LogicalDisk (*) \Disk Read Bytes\sec	從磁碟讀取的每秒位元組數目。	無臨界值	針對記憶體延遲進行疑難解答時，磁碟使用率計數器可以新增深入解析。
\LogicalDisk*\Disk Writes\sec	對磁碟執行寫入作業的速率。	無臨界值	針對記憶體延遲 (進行疑難解答時，磁碟使用量計數器可以新增見解)
\LogicalDisk (*) \Disk Write Bytes\sec	每秒寫入磁碟的位元組數目。	無臨界值	針對記憶體延遲進行疑難解答時，磁碟使用率計數器可以新增深入解析。

另請參閱

• ATA 必要條件
• ATA 容量規劃
• 設定事件集合
• 設定 Windows 事件轉送
• 請參閱 ATA 論壇！