Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Gilt für: Advanced Threat Analytics Version 1.9
Die ATA-Leistungsindikatoren liefern Einblicke in die Leistung der einzelnen ATA-Komponenten. Die Komponenten in ATA verarbeiten Daten sequenziell, so dass, wenn ein Problem vorliegt, dies zu teilweise verworfenem Datenverkehr entlang der komponentenkette führen kann. Um das Problem zu beheben, müssen Sie herausfinden, welche Komponente fehlzündet, und das Problem am Anfang der Kette beheben. Verwenden Sie die in den Leistungsindikatoren gefundenen Daten, um zu verstehen, wie jede Komponente funktioniert. Informationen zum Fluss interner ATA-Komponenten finden Sie in der ATA-Architektur .
ATA-Komponentenprozess:
Wenn eine Komponente die maximale Größe erreicht, wird die vorherige Komponente daran gehindert, weitere Entitäten an sie zu senden.
Schließlich wird die frühere Komponente beginnen, ihre eigene Größe zu erhöhen, bis sie die vorhergehende Komponente daran hindert, weitere Entitäten zu senden.
Dies geschieht bis zurück zur NetworkListener-Komponente, wodurch Datenverkehr abfällt, wenn keine Entitäten mehr weitergeleitet werden können.
Abrufen von Leistungsüberwachungsdateien zur Problembehandlung
So rufen Sie die Performance Monitor-Dateien (BLG) aus den verschiedenen ATA-Komponenten ab:
- Öffnen Sie perfmon.
- Stoppen Sie das Datensammler-Set mit dem Namen "Microsoft ATA Gateway" oder "Microsoft ATA Center".
- Wechseln Sie zum Ordner "Datensammlergruppe" (standardmäßig lautet "C:\Programme\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" oder "C:\Programme\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Kopieren Sie die zuletzt geänderte BLG-Datei.
- Starten Sie das Datensammlungsset mit dem Namen Microsoft ATA Gateway oder Microsoft ATA Center neu.
ATA-Gateway-Leistungsindikatoren
In diesem Abschnitt bezieht sich jeder Verweis auf das ATA-Gateway auch auf das ATA lightweight Gateway.
Sie können den Echtzeitleistungsstatus des ATA-Gateways beobachten, indem Sie die Leistungsindikatoren des ATA-Gateways hinzufügen. Dazu öffnen Sie Leistungsmonitor und fügen alle Leistungsindikatoren für das ATA-Gateway hinzu. Der Name des Leistungsindikatorobjekts lautet: Microsoft ATA Gateway.
Hier ist die Liste der wichtigsten ATA-Gatewayzähler, auf die Sie achten müssen:
| Zähler | Beschreibung | Schwellenwert | Troubleshooting |
|---|---|---|---|
| Microsoft ATA-Gateway\NetworkListener PEF analysierte Nachrichten\Sek. | Die Menge des Datenverkehrs, der vom ATA-Gateway jede Sekunde verarbeitet wird. | Kein Schwellenwert | Hilft Ihnen zu verstehen, wie viel Datenverkehr vom ATA-Gateway analysiert wird. |
| NetzwerkListener-PEF-Verwurfsereignisse pro Sekunde | Die Menge des Datenverkehrs, die vom ATA-Gateway pro Sekunde verworfen wird. | Diese Zahl sollte alle Zeit null sein (seltene kurze Tropfen sind akzeptabel). | Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Siehe den obenstehenden ATA-Komponentenprozess. Überprüfen Sie, ob es kein Problem mit der CPU oder dem Arbeitsspeicher gibt. |
| Microsoft ATA-Gateway\Netzwerk-Listener ETW Abgefallene Ereignisse\Sek | Die Menge des Datenverkehrs, der vom ATA-Gateway jede Sekunde verworfen wird. | Diese Zahl sollte ständig null sein (seltene kurze Ausfälle sind akzeptabel). | Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Verweisen Sie auf den oben genannten ATA-Komponentenprozess. Überprüfen Sie, ob es kein Problem mit der CPU oder dem Arbeitsspeicher gibt. |
| Microsoft ATA-Gateway\NetworkActivityTranslator-Nachrichtendaten # Blockgröße | Die Menge des Datenverkehrs, der für die Übersetzung in Netzwerkaktivitäten (NAs) in die Warteschlange gestellt wird. | Sollte kleiner als Maximum minus 1 sein (Standardhöchstwert: 100.000) | Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie oben im ATA-Komponentenprozess . Überprüfen Sie, ob es kein Problem mit der CPU oder dem Arbeitsspeicher gibt. |
| Microsoft ATA-Gateway\EntityResolver-Aktivitätsblockgröße | Die Anzahl der Netzwerkaktivitäten (Network Activities, NAs), die zur Verarbeitung in die Warteschlange aufgenommen werden. | Sollte kleiner als das Maximum minus 1 sein (Standardhöchstwert: 10.000) | Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie oben im ATA-Komponentenprozess . Überprüfen Sie, ob es kein Problem mit der CPU oder dem Arbeitsspeicher gibt. |
| Microsoft ATA Gateway\EntitySender Entität Stapelblockgröße | Die Anzahl der Netzwerkaktivitäten (NAs), die zur Übermittlung an das ATA Center anstehen. | Sollte kleiner als das Maximum minus 1 sein (Standardhöchstwert: 1.000.000) | Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie oben im ATA-Komponentenprozess . Überprüfen Sie, ob es kein Problem mit der CPU oder dem Arbeitsspeicher gibt. |
| Microsoft ATA Gateway\EntitySender Batch-Sendezeit | Die Zeitspanne, die zum Senden des letzten Batches benötigt wurde. | Die meiste Zeit sollte es weniger als 1000 Millisekunden dauern. | Überprüfen Sie, ob Netzwerkprobleme zwischen dem ATA-Gateway und dem ATA Center auftreten. |
Note
- Zeitzähler werden in Millisekunden gemessen.
- Es ist manchmal bequemer, die vollständige Liste der Leistungsindikatoren mithilfe des Berichtsdiagrammtyps zu überwachen (Beispiel: Echtzeitüberwachung aller Zähler)
ATA Lightweight Gateway-Leistungsindikatoren
Die Leistungsindikatoren können für die Kontingentverwaltung im Lightweight-Gateway verwendet werden, um sicherzustellen, dass ATA nicht zu viele Ressourcen von den Domänencontrollern entleert, auf denen sie installiert ist. Um die Ressourcenbeschränkungen zu messen, die ATA für das Lightweight-Gateway erzwingt, fügen Sie diese Leistungsindikatoren (Counters) hinzu.
Dazu öffnen Sie Leistungsmonitor und fügen Sie alle Leistungsindikatoren für das ATA Lightweight Gateway hinzu. Die Namen der Leistungsindikatorobjekte sind: Microsoft ATA Gateway und Microsoft ATA Gateway Updater.
| Zähler | Beschreibung | Schwellenwert | Troubleshooting |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU Time Max % | Die maximale CPU-Zeit (in Prozent), die der Lightweight Gateway-Prozess nutzen kann. | Kein Schwellenwert. | Dies ist die Einschränkung, die die Domänencontrollerressourcen vor der Verwendung durch das ATA Lightweight Gateway schützt. Wenn Sie feststellen, dass der Prozess die maximale Grenze häufig über einen bestimmten Zeitraum erreicht (der Prozess erreicht den Grenzwert und beginnt dann mit dem Ablegen des Datenverkehrs), bedeutet dies, dass Sie dem Server, auf dem der Domänencontroller ausgeführt wird, weitere Ressourcen hinzufügen müssen. |
| Microsoft ATA-Gateway-Updater\GatewayUpdaterResourceManager Commit-Speicher Maximale Größe | Die maximale Menge an zugesicherten Arbeitsspeicher (in Byte), die der Lightweight Gateway-Prozess nutzen kann. | Kein Schwellenwert. | Dies ist die Einschränkung, die die Domänencontrollerressourcen vor der Verwendung durch das ATA Lightweight Gateway schützt. Wenn Sie feststellen, dass der Prozess die maximale Grenze häufig über einen bestimmten Zeitraum erreicht (der Prozess erreicht den Grenzwert und beginnt dann mit dem Ablegen des Datenverkehrs), bedeutet dies, dass Sie dem Server, auf dem der Domänencontroller ausgeführt wird, weitere Ressourcen hinzufügen müssen. |
| Microsoft ATA-Gateway-Updater\GatewayUpdaterResourceManager-Arbeitssatz-Limitgröße | Die maximale Menge an physischem Speicher (in Byte), den der Lightweight Gateway-Prozess nutzen kann. | Kein Schwellenwert. | Dies ist die Einschränkung, die die Domänencontrollerressourcen vor der Verwendung durch das ATA Lightweight Gateway schützt. Wenn Sie feststellen, dass der Prozess die maximale Grenze häufig über einen bestimmten Zeitraum erreicht (der Prozess erreicht den Grenzwert und beginnt dann mit dem Ablegen des Datenverkehrs), bedeutet dies, dass Sie dem Server, auf dem der Domänencontroller ausgeführt wird, weitere Ressourcen hinzufügen müssen. |
Um Ihren tatsächlichen Verbrauch zu sehen, beziehen Sie sich auf die folgenden Zähler.
| Zähler | Beschreibung | Schwellenwert | Troubleshooting |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Prozessorzeit | Die CPU-Zeit (in Prozent), die der Lightweight Gateway-Prozess tatsächlich verbraucht. | Kein Schwellenwert. | Vergleichen Sie die Ergebnisse dieses Zählers mit dem Grenzwert, der in GatewayUpdaterResourceManager CPU Time Max % gefunden wurde. Wenn Sie feststellen, dass der Prozess die maximale Grenze häufig über einen bestimmten Zeitraum erreicht (der Prozess erreicht den Grenzwert und beginnt dann mit dem Abbruch des Datenverkehrs), bedeutet dies, dass Sie mehr Ressourcen für das Lightweight-Gateway bereitstellen müssen. |
| Process(Microsoft.Tri.Gateway)\Private Bytes | Die Menge des zugesicherten Speichers (in Byte), den der Lightweight Gateway-Prozess tatsächlich verbraucht. | Kein Schwellenwert. | Vergleichen Sie die Ergebnisse dieses Zählers mit dem Grenzwert, der in GatewayUpdaterResourceManager Commit Memory Max Size gefunden wurde. Wenn Sie feststellen, dass der Prozess die maximale Grenze häufig über einen bestimmten Zeitraum erreicht (der Prozess erreicht den Grenzwert und beginnt dann mit dem Abbruch des Datenverkehrs), bedeutet dies, dass Sie mehr Ressourcen für das Lightweight-Gateway bereitstellen müssen. |
| Process(Microsoft.Tri.Gateway)\Arbeitssatz | Die Menge des physischen Speichers (in Byte), den der Lightweight Gateway-Prozess tatsächlich verbraucht. | Kein Schwellenwert. | Vergleichen Sie die Ergebnisse dieses Zählers mit dem Grenzwert, der in GatewayUpdaterResourceManager Working Set Limit Size gefunden wurde. Wenn Sie feststellen, dass der Prozess die maximale Grenze häufig über einen bestimmten Zeitraum erreicht (der Prozess erreicht den Grenzwert und beginnt dann mit dem Abbruch des Datenverkehrs), bedeutet dies, dass Sie mehr Ressourcen für das Lightweight-Gateway bereitstellen müssen. |
ATA Center-Leistungsindikatoren
Sie können den Echtzeitleistungsstatus des ATA Center beobachten, indem Sie die Leistungsindikatoren des ATA Center hinzufügen.
Dazu öffnen Sie Leistungsmonitor und fügen sie alle Leistungsindikatoren für das ATA Center hinzu. Der Name des Leistungsindikatorobjekts lautet: Microsoft ATA Center.
Hier ist die Liste der wichtigsten ATA Center-Zähler, auf die Sie achten müssen:
| Zähler | Beschreibung | Schwellenwert | Troubleshooting |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Größe | Die Anzahl der Entitätsbatches, die vom ATA Center in die Warteschlange gestellt werden. | Sollte kleiner als das Maximum minus 1 sein (Standardhöchstwert: 10.000) | Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie im vorherigen ATA-Komponentenprozess. Überprüfen Sie, ob es kein Problem mit der CPU oder dem Arbeitsspeicher gibt. |
| Microsoft ATA Center\NetworkActivityProcessor-Netzwerkaktivitätsblockgröße | Die Anzahl der Netzwerkaktivitäten (NAs), die zur Verarbeitung in der Warteschlange stehen. | Sollte kleiner als das Maximum minus 1 sein (Standardhöchstwert: 50.000) | Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie im vorherigen ATA-Komponentenprozess. Überprüfen Sie, ob es kein Problem mit der CPU oder dem Arbeitsspeicher gibt. |
| Microsoft ATA Center\EntityProfiler Netzwerkaktivitätsblockgröße | Die Anzahl der Netzwerkaktivitäten (NAs), die zur Profilerstellung in die Warteschlange eingereiht werden. | Sollte kleiner als Maximum minus 1 sein (Standardhöchstwert: 100.000) | Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie im vorherigen ATA-Komponentenprozess. Überprüfen Sie, ob es kein Problem mit der CPU oder dem Arbeitsspeicher gibt. |
| Microsoft ATA Center\Datenbank * Blockgröße | Die Anzahl der Netzwerkaktivitäten eines bestimmten Typs, die in die Datenbank geschrieben werden sollen. | Sollte weniger als das Maximum-1 sein (Standardmaximum: 50.000) | Überprüfen Sie, ob eine Komponente die maximale Größe erreicht hat und vorherige Komponenten bis zum NetworkListener blockiert. Weitere Informationen finden Sie im vorherigen ATA-Komponentenprozess. Überprüfen Sie, ob es kein Problem mit der CPU oder dem Arbeitsspeicher gibt. |
Note
- Zeitzähler sind in Millisekunden vorhanden.
- Es ist manchmal bequemer, die vollständige Liste der Zähler mithilfe des Diagrammtyps für Bericht zu überwachen (Beispiel: Echtzeitüberwachung aller Zähler).
Betriebssystemzähler
In der folgenden Tabelle sind die wichtigsten Betriebssystemzähler aufgeführt, auf die Sie achten müssen:
| Zähler | Beschreibung | Schwellenwert | Troubleshooting |
|---|---|---|---|
| Processor(_Total)% Prozessorzeit | Der Prozentsatz der verstrichenen Zeit, die der Prozessor für die Ausführung eines Nicht-Idle-Threads aufwendet. | Weniger als 80% im Durchschnitt | Überprüfen Sie, ob ein bestimmter Prozess viel mehr Prozessorzeit in Anspruch nimmt, als es sollte. Fügen Sie weitere Prozessoren hinzu. Verringern Sie den Datenverkehr pro Server. Der Leistungsindikator "Prozessor(_Total)% Prozessorzeit" kann auf virtuellen Servern weniger genau sein. In diesem Fall ist es genauer, die fehlende Prozessorleistung mithilfe des Zählers "System\Prozessorwarteschlangenlänge" zu messen. |
| System\Kontextschalter\Sek. | Die Kombinierte Rate, mit der alle Prozessoren von einem Thread zu einem anderen gewechselt werden. | Weniger als 5000*Kerne (physische Kerne) | Überprüfen Sie, ob ein bestimmter Prozess viel mehr Prozessorzeit in Anspruch nimmt, als es sollte. Fügen Sie weitere Prozessoren hinzu. Verringern Sie den Datenverkehr pro Server. Der Leistungsindikator "Prozessor(_Total)% Prozessorzeit" kann auf virtuellen Servern weniger genau sein. In diesem Fall ist es genauer, die fehlende Prozessorleistung mit dem Leistungsindikator "System\Prozessorwarteschlangenlänge" zu messen. |
| Systemprozessor-Warteschlangenlänge | Die Anzahl der Threads, die bereit sind, ausgeführt zu werden und auf die Einplanung warten. | Weniger als fünf*Kerne (physische Kerne) | Überprüfen Sie, ob ein bestimmter Prozess viel mehr Prozessorzeit in Anspruch nimmt, als es sollte. Fügen Sie weitere Prozessoren hinzu. Verringern Sie den Datenverkehr pro Server. Der Leistungsindikator "Prozessor(_Total)% Prozessorzeit" kann auf virtuellen Servern ungenauer sein. In diesem Fall ist die genauere Methode zur Messung des Mangels an Prozessorleistung die Verwendung des Zählers "System\Prozessorwarteschlangenlänge". |
| Arbeitsspeicher\Verfügbare MBytes | Die Menge des physischen Arbeitsspeichers (RAM), der für die Zuordnung verfügbar ist. | Sollte mehr als 512 sein | Überprüfen Sie, ob ein bestimmter Prozess viel mehr physischen Arbeitsspeicher benötigt, als er sollte. Erhöhen Sie die Menge des physischen Speichers. Verringern Sie den Datenverkehr pro Server. |
| LogicalDisk(*)\Avg. Disk sec\Read | Die durchschnittliche Latenz für das Lesen von Daten vom Datenträger (Sie sollten das Datenbanklaufwerk als Instanz auswählen). | Sollte kleiner als 10 Millisekunden sein | Überprüfen Sie, ob ein bestimmter Prozess vorhanden ist, der das Datenbanklaufwerk verwendet, mehr als es sollte. Wenden Sie sich an Ihr Speicherteam/Ihren Anbieter, wenn dieses Laufwerk die aktuelle Workload bereitstellen kann und weniger als 10 ms Latenz hat. Die aktuelle Workload kann mithilfe der Datenträgerauslastungsindikatoren bestimmt werden. |
| LogicalDisk(*)\Avg. Disk sec\Write | Die durchschnittliche Latenz für das Schreiben von Daten auf den Datenträger (Sie sollten das Datenbanklaufwerk als Instanz auswählen). | Sollte kleiner als 10 Millisekunden sein | Überprüfen Sie, ob ein bestimmter Prozess vorhanden ist, der das Datenbanklaufwerk verwendet, mehr als es sollte. Wenden Sie sich an Ihr Speicherteam\Anbieter, wenn dieses Laufwerk die aktuelle Workload bereitstellen kann, während weniger als 10 ms Latenz vorhanden sind. Die aktuelle Workload kann mithilfe der Datenträgerauslastungsindikatoren bestimmt werden. |
| \LogicalDisk(*)\Lesevorgänge\Sek. | Die Rate der Ausführung von Lesevorgängen auf dem Datenträger. | Kein Schwellenwert | Datenträgerauslastungszähler können bei der Problembehandlung von Speicherlatenz wertvolle Einblicke bieten. |
| \LogicalDisk(*)\Disk Read Bytes\sek | Die Anzahl der Bytes pro Sekunde, die vom Datenträger gelesen werden. | Kein Schwellenwert | Datenträgerauslastungszähler können Einblicke zur Behebung von Speicherlatenzproblemen bieten. |
| \LogicalDisk*\Datenträger Schreibvorgänge\Sek. | Die Rate der Ausführung von Schreibvorgängen auf den Datenträger. | Kein Schwellenwert | Datenträgerauslastungszähler (können Einblicke bei der Fehlerbehebung von Speicherlatenzen bieten) |
| \LogicalDisk(*)\Disk Write Bytes/Sekunde | Die Anzahl der Bytes pro Sekunde, die auf den Datenträger geschrieben werden. | Kein Schwellenwert | Datenspeicherauslastungszähler können Einblicke bei der Fehlerbehebung von Speicherlatenzproblemen bieten. |