Řešení potíží s ATA pomocí čítačů výkonu
Platí pro: Advanced Threat Analytics verze 1.9
Čítače výkonu ATA poskytují přehled o tom, jak dobře jednotlivé komponenty ATA fungují. Komponenty ATA zpracovávají data postupně, takže když dojde k problému, může to způsobit částečné vyřazení provozu někde podél řetězce komponent. Chcete-li problém vyřešit, musíte zjistit, která komponenta je backfiring a opravit problém na začátku řetězce. Pomocí dat nalezených v čítačích výkonu zjistěte, jak jednotlivé komponenty fungují. Projděte si architekturu ATA a seznamte se s tokem interních komponent ATA.
Proces komponenty ATA:
Když komponenta dosáhne maximální velikosti, blokuje předchozí komponentu odesílání dalších entit do ní.
Potom se nakonec předchozí komponenta začne zvětšovat svou vlastní velikost, dokud nezablokuje komponentu před ní, aby odesílala více entit.
K tomu dochází až zpět ke komponentě NetworkListener, která zahodí provoz, když už nemůže předávat entity.
Načítání souborů monitorování výkonu pro řešení potíží
Načtení souborů monitorování výkonu (BLG) z různých komponent ATA:
- Otevřete perfmon.
- Zastavte sadu kolekcí dat s názvem Microsoft ATA Gateway nebo Microsoft ATA Center.
- Přejděte do složky sady kolekcí dat (ve výchozím nastavení je to C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets nebo C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets).
- Zkopírujte soubor BLG, který byl naposledy změněn.
- Restartujte sadu kolekcí dat s názvem Microsoft ATA Gateway nebo Microsoft ATA Center.
Čítače výkonu ATA Gateway
V této části odkazuje každý odkaz na ATA Gateway také na ATA Lightweight Gateway.
Stav výkonu ATA Gateway v reálném čase můžete sledovat přidáním čítačů výkonu ATA Gateway. To se provádí otevřením Sledování výkonu a přidáním všech čítačů pro ATA Gateway. Název objektu čítače výkonu je: Microsoft ATA Gateway.
Tady je seznam hlavních čítačů ATA Gateway, na které je potřeba věnovat pozornost:
| Čítač | Popis | Prahová hodnota | Řešení problému |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF Parsed Messages\Sec | Objem provozu, který ATA Gateway zpracovává každou sekundu. | Bez prahové hodnoty | Pomáhá pochopit objem provozu, který ATA Gateway analyzuje. |
| NetworkListener PEF Dropped Events\Sec | Objem provozu, který ATA Gateway zahodí každou sekundu. | Toto číslo by mělo být vždy nulové (vzácné krátké poklesy jsou přijatelné). | Zkontrolujte, jestli existuje nějaká komponenta, která dosáhla maximální velikosti, a blokuje předchozí komponenty až do prvku NetworkListener. Projděte si výše uvedený proces komponenty ATA. Zkontrolujte, jestli nedošlo k žádnému problému s procesorem nebo pamětí. |
| Microsoft ATA Gateway\NetworkListener ETW Dropped Events\Sec | Objem provozu, který ATA Gateway zahodí každou sekundu. | Toto číslo by mělo být vždy nulové (vzácné krátké poklesy jsou přijatelné). | Zkontrolujte, jestli existuje nějaká komponenta, která dosáhla maximální velikosti, a blokuje předchozí komponenty až do prvku NetworkListener. Projděte si výše uvedený proces komponenty ATA. Zkontrolujte, jestli nedošlo k žádnému problému s procesorem nebo pamětí. |
| Microsoft ATA Gateway\NetworkActivityTranslator Message Data # Block Size | Objem provozu zařazený do fronty pro překlad do síťových aktivit (NA). | Mělo by být menší než maximum-1 (výchozí maximum: 100 000) | Zkontrolujte, jestli existuje nějaká komponenta, která dosáhla maximální velikosti, a blokuje předchozí komponenty až do prvku NetworkListener. Projděte si výše uvedený proces komponenty ATA. Zkontrolujte, jestli nedošlo k žádnému problému s procesorem nebo pamětí. |
| Velikost bloku aktivity Microsoft ATA Gateway\EntityResolver | Počet síťových aktivit (NA) zařazených do fronty pro řešení | Měla by být menší než maximum-1 (výchozí maximum: 10 000) | Zkontrolujte, jestli existuje nějaká komponenta, která dosáhla maximální velikosti, a blokuje předchozí komponenty až do prvku NetworkListener. Projděte si výše uvedený proces komponenty ATA. Zkontrolujte, jestli nedošlo k žádnému problému s procesorem nebo pamětí. |
| Microsoft ATA Gateway\EntitySender Entity Batch Block Size | Množství síťových aktivit (NA) zařazených do fronty, které se mají odesílat do ATA Center. | Mělo by být menší než maximum-1 (výchozí maximum: 1 000 000). | Zkontrolujte, jestli existuje nějaká komponenta, která dosáhla maximální velikosti, a blokuje předchozí komponenty až do prvku NetworkListener. Projděte si výše uvedený proces komponenty ATA. Zkontrolujte, jestli nedošlo k žádnému problému s procesorem nebo pamětí. |
| Microsoft ATA Gateway\EntitySender Batch Send Time | Doba, kterou trvalo odeslání poslední dávky. | Ve většině případů by mělo být méně než 1000 milisekund. | Zkontrolujte, jestli mezi ATA Gateway a ATA Center nedochází k problémům se sítí. |
Poznámka:
- Časové čítače jsou v milisekundách.
- Někdy je vhodnější monitorovat úplný seznam čítačů pomocí typu grafu sestavy (příklad: monitorování všech čítačů v reálném čase)
Čítače výkonu ATA Lightweight Gateway
Čítače výkonu je možné použít ke správě kvót ve službě Lightweight Gateway, aby se zajistilo, že ATA nevyprázdní příliš mnoho prostředků z řadičů domény, na kterých je nainstalovaná. Pokud chcete měřit omezení prostředků, která ATA vynucuje ve službě Lightweight Gateway, přidejte tyto čítače.
To se provádí otevřením Sledování výkonu a přidáním všech čítačů pro ATA Lightweight Gateway. Názvy objektů čítače výkonu jsou: Microsoft ATA Gateway a Microsoft ATA Gateway Updater.
| Čítač | Popis | Prahová hodnota | Řešení problému |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Cpu Time Max % | Maximální doba procesoru (v procentech), kterou může proces Lightweight Gateway využívat. | Žádná prahová hodnota. | Jedná se o omezení, které chrání prostředky řadiče domény před tím, než je ATA Lightweight Gateway využívá. Pokud zjistíte, že proces dosáhne maximálního limitu často v určitém časovém období (proces dosáhne limitu a pak začne ukončovat provoz), znamená to, že na server, na kterém běží řadič domény, musíte přidat další prostředky. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Commit Memory Max Size | Maximální velikost potvrzené paměti (v bajtech), kterou může proces Lightweight Gateway využívat. | Žádná prahová hodnota. | Jedná se o omezení, které chrání prostředky řadiče domény před tím, než je ATA Lightweight Gateway využívá. Pokud zjistíte, že proces dosáhne maximálního limitu často za určité časové období (proces dosáhne limitu a pak začne ukončovat provoz), znamená to, že na server, na kterém běží řadič domény, musíte přidat další prostředky. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager – Velikost limitu pracovní sady | Maximální velikost fyzické paměti (v bajtech), kterou může proces Lightweight Gateway využívat. | Žádná prahová hodnota. | Jedná se o omezení, které chrání prostředky řadiče domény před tím, než je ATA Lightweight Gateway využívá. Pokud zjistíte, že proces dosáhne maximálního limitu často za určité časové období (proces dosáhne limitu a pak začne ukončovat provoz), znamená to, že na server, na kterém běží řadič domény, musíte přidat další prostředky. |
Pokud chcete zobrazit skutečnou spotřebu, projděte si následující čítače:
| Čítač | Popis | Prahová hodnota | Řešení problému |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%čas procesoru | Doba procesoru (v procentech), kterou proces Lightweight Gateway skutečně spotřebovává. | Žádná prahová hodnota. | Porovnejte výsledky tohoto čítače s limitem, který se nachází v sadě GatewayUpdaterResourceManager CPU Time Max %. Pokud zjistíte, že proces dosáhne maximálního limitu často v určitém časovém období (proces dosáhne limitu a pak začne ukončovat provoz), znamená to, že je potřeba vyhradit více prostředků na Lightweight Gateway. |
| Process(Microsoft.Tri.Gateway)\Private Bytes | Množství potvrzené paměti (v bajtech), kterou proces Lightweight Gateway skutečně spotřebovává. | Žádná prahová hodnota. | Porovnejte výsledky tohoto čítače s limitem, který najdete v souboru GatewayUpdaterResourceManager Commit Memory Max Size. Pokud zjistíte, že proces dosáhne maximálního limitu často v určitém časovém období (proces dosáhne limitu a pak začne ukončovat provoz), znamená to, že je potřeba vyhradit více prostředků na Lightweight Gateway. |
| Process(Microsoft.Tri.Gateway)\Working Set | Množství fyzické paměti (v bajtech), kterou proces Lightweight Gateway skutečně spotřebovává. | Žádná prahová hodnota. | Porovnejte výsledky tohoto čítače s limitem, který se nachází v sadě GatewayUpdaterResourceManager – velikost limitu pracovní sady. Pokud zjistíte, že proces dosáhne maximálního limitu často v určitém časovém období (proces dosáhne limitu a pak začne ukončovat provoz), znamená to, že je potřeba vyhradit více prostředků na Lightweight Gateway. |
Čítače výkonu ATA Center
Stav výkonu ATA Center v reálném čase můžete sledovat přidáním čítačů výkonu ATA Center.
To se provádí otevřením Sledování výkonu a přidáním všech čítačů pro ATA Center. Název objektu čítače výkonu je: Microsoft ATA Center.
Tady je seznam hlavních čítačů ATA Center, na které je potřeba věnovat pozornost:
| Čítač | Popis | Prahová hodnota | Řešení problému |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | Počet dávek entit zařazených do fronty komponenty ATA Center. | Měla by být menší než maximum-1 (výchozí maximum: 10 000) | Zkontrolujte, jestli existuje nějaká komponenta, která dosáhla maximální velikosti, a blokuje předchozí komponenty až do prvku NetworkListener. Projděte si předchozí proces komponenty ATA. Zkontrolujte, jestli nedošlo k žádnému problému s procesorem nebo pamětí. |
| Velikost bloku síťové aktivity Microsoft ATA Center\NetworkActivityProcessor | Počet síťových aktivit (NA) zařazených do fronty ke zpracování. | Mělo by být menší než maximum-1 (výchozí maximum: 50 000) | Zkontrolujte, jestli existuje nějaká komponenta, která dosáhla maximální velikosti, a blokuje předchozí komponenty až do prvku NetworkListener. Projděte si předchozí proces komponenty ATA. Zkontrolujte, jestli nedošlo k žádnému problému s procesorem nebo pamětí. |
| Microsoft ATA Center\EntityProfiler Network Activity Block Size | Počet síťových aktivit (NA) zařazených do fronty pro profilaci | Mělo by být menší než maximum-1 (výchozí maximum: 100 000) | Zkontrolujte, jestli existuje nějaká komponenta, která dosáhla maximální velikosti, a blokuje předchozí komponenty až do prvku NetworkListener. Projděte si předchozí proces komponenty ATA. Zkontrolujte, jestli nedošlo k žádnému problému s procesorem nebo pamětí. |
| Microsoft ATA Center\Database * Velikost bloku | Počet síťových aktivit určitého typu zařazených do fronty pro zápis do databáze. | Mělo by být menší než maximum-1 (výchozí maximum: 50 000) | Zkontrolujte, jestli existuje nějaká komponenta, která dosáhla maximální velikosti, a blokuje předchozí komponenty až do prvku NetworkListener. Projděte si předchozí proces komponenty ATA. Zkontrolujte, jestli nedošlo k žádnému problému s procesorem nebo pamětí. |
Poznámka:
- Časové čítače jsou v milisekundách.
- Někdy je vhodnější monitorovat úplný seznam čítačů pomocí typu grafu pro sestavu (například monitorování všech čítačů v reálném čase).
Čítače operačního systému
Následující tabulka uvádí hlavní čítače operačního systému, na které je potřeba věnovat pozornost:
| Čítač | Popis | Prahová hodnota | Řešení problému |
|---|---|---|---|
| Processor(_Total)% Processor Time | Procento uplynulého času, které procesor stráví spuštěním nečinného vlákna. | Méně než 80 % v průměru | Zkontrolujte, jestli existuje konkrétní proces, který trvá mnohem více času procesoru, než by měl. Přidejte další procesory. Snižte objem provozu na server. Čítač "Procesor(_Total)% čas procesoru" může být na virtuálních serverech méně přesný, v takovém případě přesnější způsob měření nedostatku výkonu procesoru je prostřednictvím čítače "System\Processor Queue Length". |
| System\Context Switchs\sec | Kombinovaná rychlost, při které se všechny procesory přepínají z jednoho vlákna na druhé. | Méně než 5 000*jader (fyzická jádra) | Zkontrolujte, jestli existuje konkrétní proces, který trvá mnohem více času procesoru, než by měl. Přidejte další procesory. Snižte objem provozu na server. Čítač "Procesor(_Total)% čas procesoru" může být na virtuálních serverech méně přesný, v takovém případě přesnější způsob měření nedostatku výkonu procesoru je prostřednictvím čítače "System\Processor Queue Length". |
| Délka fronty systému\procesoru | Počet vláken, která jsou připravená ke spuštění a čekají na naplánování. | Méně než pět*jader (fyzická jádra) | Zkontrolujte, jestli existuje konkrétní proces, který trvá mnohem více času procesoru, než by měl. Přidejte další procesory. Snižte objem provozu na server. Čítač "Procesor(_Total)% čas procesoru" může být na virtuálních serverech méně přesný, v takovém případě přesnější způsob měření nedostatku výkonu procesoru je prostřednictvím čítače "System\Processor Queue Length". |
| Memory\Available MBytes | Množství fyzické paměti (RAM) dostupné pro přidělení. | Mělo by být více než 512 | Zkontrolujte, jestli existuje konkrétní proces, který přijímá mnohem větší fyzickou paměť, než by měl. Zvyšte množství fyzické paměti. Snižte objem provozu na server. |
| LogicalDisk(*)\Avg. Disk sec\Read | Průměrná latence čtení dat z disku (jako instanci byste měli zvolit databázovou jednotku). | Měla by být menší než 10 milisekund. | Zkontrolujte, jestli existuje konkrétní proces, který využívá databázovou jednotku více, než by mělo. Obraťte se na tým nebo dodavatele úložiště, jestli tato jednotka dokáže dodávat aktuální úlohu s nižší latencí než 10 ms. Aktuální úlohu lze určit pomocí čítačů využití disku. |
| LogicalDisk(*)\Avg. Disk sec\Write | Průměrná latence zápisu dat na disk (jako instanci byste měli zvolit databázovou jednotku). | Měla by být menší než 10 milisekund. | Zkontrolujte, jestli existuje konkrétní proces, který využívá databázovou jednotku více, než by mělo. S týmem úložiště nebo dodavatelem se obraťte na to, jestli může tato jednotka dodávat aktuální úlohu a současně má latenci menší než 10 ms. Aktuální úlohu lze určit pomocí čítačů využití disku. |
| \LogicalDisk(*)\Čtení disku\s | Rychlost provádění operací čtení na disk. | Bez prahové hodnoty | Čítače využití disků můžou přidat přehled při řešení potíží s latencí úložiště. |
| \Logický disk(*)\Bajty čtení disku\s | Počet bajtů za sekundu, které se čtou z disku. | Bez prahové hodnoty | Čítače využití disků můžou přidat přehled při řešení potíží s latencí úložiště. |
| \Logický disk*\Zápisy na disk\s | Rychlost provádění operací zápisu na disk. | Bez prahové hodnoty | Čítače využití disků (můžou přidat přehledy při řešení potíží s latencí úložiště) |
| \Logický disk(*)\Bajty zápisu na disk\s | Počet bajtů za sekundu, které se zapisují na disk. | Bez prahové hodnoty | Čítače využití disků můžou přidat přehled při řešení potíží s latencí úložiště. |