Kapacitás megtervezése a Microsoft Defender for Identity üzembe helyezéséhez
Ez a cikk bemutatja, hogyan használhatja a Microsoft Defender for Identity méretezési eszközét annak megállapítására, hogy a tartományvezérlő kiszolgálói elegendő erőforrással rendelkeznek-e a Microsoft Defender for Identity-érzékelőhöz.
Bár előfordulhat, hogy a tartományvezérlő teljesítményét nem befolyásolja, ha a kiszolgáló nem rendelkezik szükséges erőforrásokkal, előfordulhat, hogy a Defender for Identity érzékelő nem a várt módon működik. További információ: Microsoft Defender for Identity előfeltételei.
A méretezési eszköz csak a tartományvezérlők számára szükséges kapacitást méri. Nem szükséges az AD FS/AD CS-kiszolgálókon futtatni, mivel az AD FS/AD CS-kiszolgálók teljesítményre gyakorolt hatása rendkívül minimális ahhoz, hogy ne létezzen.
Tipp.
Alapértelmezés szerint a Defender for Identity legfeljebb 350 érzékelőt támogat. További érzékelők telepítéséhez forduljon a Defender for Identity támogatási szolgálatához.
Előfeltételek
- Töltse le a Defender for Identity méretezési eszközét.
- Tekintse át a Defender for Identity architektúráról szóló cikket.
- Tekintse át a Defender for Identity előfeltételeiről szóló cikket.
A pontos eredmények érdekében csak akkor futtassa a méretezési eszközt , mielőtt bármilyen Defender for Identity-érzékelőt telepített volna a környezetében.
A méretezési eszköz használata
Futtassa a Defender for Identity méretezési eszközét TriSizingTool.exe a letöltött zip-fájlból.
Amikor az eszköz fut, nyissa meg az Excel-fájl eredményeit.
Az Excel-fájlban keresse meg és válassza ki az Azure ATP-összefoglaló lapot, majd ellenőrizze az Érzékelő által támogatott oszlopban azokat az eredményeket, amelyek jelzik, hogy a kiszolgáló támogatott-e.
Például:
Feljegyzés
A fájl másik lapja az Advanced Threat Analytics (ATA) tervezéséhez használatos, és nem szükséges a Defender for Identityhez.
A méretezési eszköz határozza meg, hogy a kiszolgáló támogatott-e a Foglalt csomagok/Második érték alapján, amelyet a rendszer a 24 órás időszak 15 legforgalmasabb perce alapján számít ki.
Gyakori eredmények a következők:
| Eredmény | Leírás |
|---|---|
| Igen | Az érzékelő támogatott a kiszolgálón |
| Igen, de további erőforrásokra van szükség | Az érzékelő akkor támogatott a kiszolgálón, ha hozzáadja a megadott hiányzó erőforrásokat. |
| Talán | Az aktuális foglalt csomagok/második érték jelentősen magasabb lehet ezen a ponton, mint az átlag. Ellenőrizze az időbélyegeket, hogy megértse az abban az időben futó folyamatokat, és hogy normál körülmények között korlátozhatja-e az adott folyamatok sávszélességét. |
| Talán, de további erőforrásokra van szükség | Előfordulhat, hogy az érzékelő támogatott a kiszolgálón, ha hozzáadja a megadott hiányzó erőforrásokat, vagy a Foglalt csomagok / Második csomag 60 000 felett lehet |
| Nem | Az érzékelő nem támogatott a kiszolgálón. Az aktuális foglalt csomagok/második érték jelentősen magasabb lehet ezen a ponton, mint az átlag. Ellenőrizze az időbélyegeket, hogy megértse az abban az időben futó folyamatokat, és hogy normál körülmények között korlátozhatja-e az adott folyamatok sávszélességét. |
| Hiányzó operációsrendszer-adatok | Hiba történt az operációs rendszer adatainak olvasása közben. Győződjön meg arról, hogy a kiszolgálóval való kapcsolat képes távolról lekérdezni a WMI-t. |
| Hiányzó forgalmi adatok | Hiba történt a forgalmi adatok olvasása közben. Győződjön meg arról, hogy a kiszolgálóval való kapcsolat képes távolról lekérdezni a teljesítményszámlálókat. |
| Hiányzó RAM-adatok | Hiba történt a RAM-adatok olvasása közben. Győződjön meg arról, hogy a kiszolgálóval való kapcsolat képes távolról lekérdezni a WMI-t. |
| Hiányzó alapvető adatok | Hiba történt az alapvető adatok olvasása során. Győződjön meg arról, hogy a kiszolgálóval való kapcsolat képes távolról lekérdezni a WMI-t. |
Az alábbi képen például olyan eredmények láthatók, amelyekben a Talán azt jelzi, hogy a Foglalt csomagok/Második érték lényegesen magasabb az átlagnál. Vegye figyelembe, hogy a tartományvezérlő időpontainak megjelenítése UTC/Helyi időpontként helyi tartományvezérlő-idő értékre van állítva. Ez a beállítás segít kiemelni azt a tényt, hogy az értékek 3:30 körül készültek.
A Defender for Identity-érzékelő becsült méretezése
Az alábbi táblázat a Defender for Identity-érzékelőhöz szükséges becsült PROCESSZOR- és RAM-kapacitást mutatja be a tartományvezérlő által generált hálózati forgalom tipikus mennyisége alapján.
Ez a tábla egy becslés. Az érzékelő által elemezett végső mennyiség a forgalom mennyiségétől és a forgalom eloszlásától függ.
| Foglalt csomagok / másodperc | CPU (fizikai magok) | RAM (GB) |
|---|---|---|
| 0-1k | 0,25 | 2,50 |
| 1k-5k | 0,75 | 6,00 |
| 5k-10k | 1,00 | 6.50 |
| 10k-20k | 2,00 | 9,00 |
| 20k-50k | 3,50 | 9.50 |
| 50k-75k | 5.50 | 11.50 |
| 75k-100k | 7.50 | 13,50 |
Ebben a táblázatban:
A PROCESSZOR- és RAM-kapacitás az érzékelő saját fogyasztására vonatkozik, nem pedig a tartományvezérlő kapacitására.
A processzorkapacitás nem tartalmaz hiperszálas magokat. Javasoljuk, hogy ne dolgozzon hiperszálas magokkal, ami állapotproblémákat okozhat a Defender for Identity érzékelőben.
A méretezés meghatározásakor vegye figyelembe az érzékelőszolgáltatás által használt magok teljes számát és teljes memóriamennyiségét.
További információ: Erőforrás-korlátozások.
Manuális méretezési becslés tartományvezérlőkhöz
Ha nem tudja használni a méretezési eszközt, manuálisan megbecsülheti, hogy a tartományvezérlő kiszolgálói elegendő erőforrással rendelkeznek-e a Defender for Identity-érzékelőhöz.
Gyűjtse össze manuálisan a csomag/másodperc számláló adatait az összes tartományvezérlőről, több mint 24 órán át, alacsony gyűjtési időközzel, például 5 másodperccel. Minden tartományvezérlő esetében számítsa ki a napi átlagot és a legforgalmassági időszak (15 perc) átlagát.
A különböző eszközök segítenek felderíteni a tartományvezérlő átlagos csomag/másodperc számlálóját. Ez az eljárás egy példát mutat be arra, hogyan gyűjtheti össze a vonatkozó információkat a Teljesítményfigyelő használatával.
Nyissa meg a Teljesítményfigyelőt, és bontsa ki az Adatgyűjtő-készleteket.
Kattintson a jobb gombbal a Felhasználó által definiált elemre, és válassza az Új > adatgyűjtő-készlet lehetőséget.
Adjon meg egy értelmes nevet a gyűjtőkészletnek, és válassza a Manuális létrehozás (Speciális) lehetőséget.
Milyen típusú adatokat szeretne belefoglalni?, válassza az Adatnaplók létrehozása és a Teljesítményszámláló lehetőséget.
Bontsa ki a hálózati adaptert, majd válassza a Csomagok/mp és a megfelelő munkaterület lehetőséget. Ha nem biztos abban, hogy melyik munkaterületet válassza ki, válassza az <Összes munkaterület lehetőséget>. A lépés végrehajtásához válassza az OK hozzáadása>lehetőséget.
Ha ezt a lépést a parancssorból hajtja végre, futtassa
ipconfig /allaz adapter nevét és konfigurációját.Módosítsa a minta időközét öt másodpercre, és adja meg, hogy hová szeretné menteni az adatokat.
Az adatgyűjtő-készlet létrehozása csoportban válassza az Adatgyűjtő-készlet indítása most>Befejezés lehetőséget.
Ekkor látnia kell a létrehozott adatgyűjtő-készletet egy zöld háromszöggel, amely jelzi, hogy működik.
24 óra elteltével állítsa le az adatgyűjtő-készletet. Kattintson a jobb gombbal az adatgyűjtő-készletre, és válassza a Leállítás lehetőséget.
A Fájlkezelő keresse meg azt a mappát, ahová a .blg fájlt mentette. Kattintson rá duplán a Teljesítményfigyelőben való megnyitásához.
Válassza ki a Csomagok/másodperc számlálót, és rögzítse az átlagot és a maximális értékeket.
Feljegyzés
Alapértelmezés szerint a Defender for Identity legfeljebb 350 érzékelőt támogat. Ha további érzékelőket szeretne telepíteni, forduljon a Defender for Identity támogatási szolgálatához.