성능 카운터를 사용하여 ATA 문제 해결
적용 대상: Advanced Threat Analytics 버전 1.9
ATA 성능 카운터는 ATA의 각 구성 요소가 얼마나 잘 수행되는지에 대한 인사이트를 제공합니다. ATA의 구성 요소는 데이터를 순차적으로 처리하므로 문제가 있는 경우 구성 요소 체인을 따라 부분적으로 삭제된 트래픽이 발생할 수 있습니다. 문제를 해결하려면 어떤 구성 요소가 역추진하는지 파악하고 체인의 시작 부분에서 문제를 해결해야 합니다. 성능 카운터에 있는 데이터를 사용하여 각 구성 요소의 작동 방식을 이해합니다. 내부 ATA 구성 요소의 흐름을 이해하려면 ATA 아키텍처를 참조하세요.
ATA 구성 요소 프로세스:
구성 요소가 최대 크기에 도달하면 이전 구성 요소가 더 많은 엔터티를 보내지 못하도록 차단합니다.
그런 다음, 결국 이전 구성 요소는 더 많은 엔터티를 보내지 못하도록 구성 요소를 차단할 때까지 자체 크기를 늘리 기 시작합니다.
이 작업은 NetworkListener 구성 요소로 돌아가서 더 이상 엔터티를 전달할 수 없을 때 트래픽을 삭제합니다.
문제 해결을 위해 성능 모니터 파일 검색
다양한 ATA 구성 요소에서 BLG(성능 모니터 파일)를 검색하려면 다음을 수행합니다.
- 퍼프먼을 엽니다.
- Microsoft ATA Gateway 또는 Microsoft ATA Center라는 데이터 수집기 집합을 중지합니다.
- 데이터 수집기 집합 폴더로 이동합니다(기본적으로 "C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" 또는 "C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- 가장 최근에 수정된 BLG 파일을 복사합니다.
- Microsoft ATA Gateway 또는 Microsoft ATA Center라는 데이터 수집기 집합을 다시 시작합니다.
ATA 게이트웨이 성능 카운터
이 섹션에서는 ATA 게이트웨이에 대한 모든 참조가 ATA 경량 게이트웨이를 참조합니다.
ATA 게이트웨이의 성능 카운터를 추가하여 ATA 게이트웨이의 실시간 성능 상태 확인할 수 있습니다. 이 작업은 성능 모니터 열고 ATA 게이트웨이에 대한 모든 카운터를 추가하여 수행됩니다. 성능 카운터 개체의 이름은 Microsoft ATA Gateway입니다.
다음은 주의할 기본 ATA 게이트웨이 카운터 목록입니다.
| 카운터 | 설명 | 임계값 | 문제 해결 |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF 구문 분석된 메시지\초 | ATA 게이트웨이에서 1초마다 처리되는 트래픽 양입니다. | 임계값 없음 | ATA 게이트웨이에서 구문 분석되는 트래픽의 양을 이해하는 데 도움이 됩니다. |
| NetworkListener PEF Dropped Events\Sec | ATA 게이트웨이에서 1초마다 삭제되는 트래픽 양입니다. | 이 숫자는 항상 0이어야 합니다(드물게 짧은 낙하가 허용됨). | 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요. CPU 또는 메모리에 문제가 없는지 확인합니다. |
| Microsoft ATA Gateway\NetworkListener ETW Dropped Events\Sec | ATA 게이트웨이에서 1초마다 삭제되는 트래픽 양입니다. | 이 숫자는 항상 0이어야 합니다(드물게 짧은 낙하가 허용됨). | 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요. CPU 또는 메모리에 문제가 없는지 확인합니다. |
| Microsoft ATA Gateway\NetworkActivity번역기 메시지 데이터 # 블록 크기 | NA(네트워크 활동)로 변환하기 위해 대기하는 트래픽의 양입니다. | 최대 1보다 작아야 합니다(기본 최대값: 100,000). | 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요. CPU 또는 메모리에 문제가 없는지 확인합니다. |
| Microsoft ATA Gateway\EntityResolver 활동 블록 크기 | 확인을 위해 대기 중인 NA(네트워크 활동) 수입니다. | 최대값-1보다 작아야 합니다(기본 최대값: 10,000). | 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요. CPU 또는 메모리에 문제가 없는지 확인합니다. |
| Microsoft ATA Gateway\EntitySender 엔터티 일괄 처리 블록 크기 | ATA 센터로 보낼 대기하는 NA(네트워크 활동)의 양입니다. | 최대 1보다 작아야 합니다(기본 최대값: 1,000,000). | 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요. CPU 또는 메모리에 문제가 없는지 확인합니다. |
| Microsoft ATA Gateway\EntitySender Batch Send Time | 마지막 일괄 처리를 보내는 데 걸린 시간입니다. | 대부분의 경우 1000밀리초 미만이어야 합니다. | ATA 게이트웨이와 ATA 센터 간에 네트워킹 문제가 있는지 확인합니다. |
참고 항목
- 시간 제한 카운터는 밀리초 단위입니다.
- 보고서 그래프 형식(예: 모든 카운터의 실시간 모니터링)을 사용하여 카운터의 전체 목록을 모니터링하는 것이 더 편리한 경우도 있습니다.
ATA 경량 게이트웨이 성능 카운터
성능 카운터는 경량 게이트웨이의 할당량 관리에 사용되어 ATA가 설치된 do기본 컨트롤러에서 너무 많은 리소스를 드레이닝하지 않도록 할 수 있습니다. ATA가 경량 게이트웨이에 적용하는 리소스 제한을 측정하려면 이러한 카운터를 추가합니다.
이 작업은 성능 모니터 열고 ATA 경량 게이트웨이에 대한 모든 카운터를 추가하여 수행됩니다. 성능 카운터 개체 의 이름은 Microsoft ATA Gateway 및 Microsoft ATA Gateway Updater입니다.
| 카운터 | 설명 | 임계값 | 문제 해결 |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU 시간 최대 % | 경량 게이트웨이 프로세스에서 사용할 수 있는 최대 CPU 시간(백분율)입니다. | 임계값이 없습니다. | 이는 ATA 경량 게이트웨이에서 do기본 컨트롤러 리소스가 사용되지 않도록 보호하는 제한 사항입니다. 프로세스가 일정 기간 동안 종종 최대 한도에 도달하는 경우(프로세스가 한도에 도달한 다음 트래픽을 삭제하기 시작) do기본 컨트롤러를 실행하는 서버에 더 많은 리소스를 추가해야 합니다. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager 커밋 메모리 최대 크기 | 경량 게이트웨이 프로세스에서 사용할 수 있는 커밋된 메모리의 최대 양(바이트)입니다. | 임계값이 없습니다. | 이는 ATA 경량 게이트웨이에서 do기본 컨트롤러 리소스가 사용되지 않도록 보호하는 제한 사항입니다. 프로세스가 일정 기간 동안 자주 최대 한도에 도달하면(프로세스가 제한에 도달한 다음 트래픽 삭제를 시작) do기본 컨트롤러를 실행하는 서버에 더 많은 리소스를 추가해야 합니다. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager 작업 집합 제한 크기 | 경량 게이트웨이 프로세스에서 사용할 수 있는 최대 실제 메모리 양(바이트)입니다. | 임계값이 없습니다. | 이는 ATA 경량 게이트웨이에서 do기본 컨트롤러 리소스가 사용되지 않도록 보호하는 제한 사항입니다. 프로세스가 일정 기간 동안 자주 최대 한도에 도달하면(프로세스가 제한에 도달한 다음 트래픽 삭제를 시작) do기본 컨트롤러를 실행하는 서버에 더 많은 리소스를 추가해야 합니다. |
실제 사용량을 확인하려면 다음 카운터를 참조하세요.
| 카운터 | 설명 | 임계값 | 문제 해결 |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Processor Time | 경량 게이트웨이 프로세스가 실제로 사용하는 CPU 시간(백분율)입니다. | 임계값이 없습니다. | 이 카운터의 결과를 GatewayUpdaterResourceManager CPU 시간 최대 %에 있는 제한과 비교합니다. 프로세스가 일정 기간 동안 종종 최대 한도에 도달하는 경우(프로세스가 한도에 도달한 다음 트래픽을 삭제하기 시작) 경량 게이트웨이에 더 많은 리소스를 헌납해야 한다는 의미입니다. |
| Process(Microsoft.Tri.Gateway)\Private Bytes | 경량 게이트웨이 프로세스가 실제로 사용하는 커밋된 메모리 양(바이트)입니다. | 임계값이 없습니다. | 이 카운터의 결과를 GatewayUpdaterResourceManager 커밋 메모리 최대 크기에 있는 제한과 비교합니다. 프로세스가 일정 기간 동안 종종 최대 한도에 도달하는 경우(프로세스가 한도에 도달한 다음 트래픽을 삭제하기 시작) 경량 게이트웨이에 더 많은 리소스를 헌납해야 한다는 의미입니다. |
| Process(Microsoft.Tri.Gateway)\Working Set | 경량 게이트웨이 프로세스가 실제로 사용하는 실제 메모리 양(바이트)입니다. | 임계값이 없습니다. | 이 카운터의 결과를 GatewayUpdaterResourceManager 작업 집합 제한 크기에 있는 제한과 비교합니다. 프로세스가 일정 기간 동안 종종 최대 한도에 도달하는 경우(프로세스가 한도에 도달한 다음 트래픽을 삭제하기 시작) 경량 게이트웨이에 더 많은 리소스를 헌납해야 한다는 의미입니다. |
ATA 센터 성능 카운터
ATA 센터의 성능 카운터를 추가하여 ATA 센터의 실시간 성능 상태 확인할 수 있습니다.
이 작업은 성능 모니터 열고 ATA 센터에 대한 모든 카운터를 추가하여 수행됩니다. 성능 카운터 개체의 이름은 Microsoft ATA Center입니다.
다음은 주의할 기본 ATA 센터 카운터 목록입니다.
| 카운터 | 설명 | 임계값 | 문제 해결 |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver 엔터티 일괄 처리 블록 크기 | ATA 센터에서 큐에 대기 중인 엔터티 일괄 처리 수입니다. | 최대값-1보다 작아야 합니다(기본 최대값: 10,000). | 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요. CPU 또는 메모리에 문제가 없는지 확인합니다. |
| Microsoft ATA Center\NetworkActivityProcessor 네트워크 활동 블록 크기 | 처리를 위해 대기 중인 NA(네트워크 활동) 수입니다. | 최대 1보다 작아야 합니다(기본 최대값: 50,000). | 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요. CPU 또는 메모리에 문제가 없는지 확인합니다. |
| Microsoft ATA Center\EntityProfiler 네트워크 활동 블록 크기 | 프로파일링을 위해 대기 중인 NA(네트워크 활동) 수입니다. | 최대 1보다 작아야 합니다(기본 최대값: 100,000). | 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요. CPU 또는 메모리에 문제가 없는지 확인합니다. |
| Microsoft ATA Center\Database * 블록 크기 | 데이터베이스에 쓸 대기 중인 특정 유형의 네트워크 활동 수입니다. | 최대 1보다 작아야 합니다(기본 최대값: 50,000). | 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요. CPU 또는 메모리에 문제가 없는지 확인합니다. |
참고 항목
- 시간 제한 카운터는 밀리초 단위입니다.
- 보고서에 대한 그래프 형식을 사용하여 카운터의 전체 목록을 모니터링하는 것이 더 편리한 경우도 있습니다(예: 모든 카운터의 실시간 모니터링).
운영 체제 카운터
다음 표에서는 주의해야 할 기본 운영 체제 카운터를 나열합니다.
| 카운터 | 설명 | 임계값 | 문제 해결 |
|---|---|---|---|
| Processor(_Total)% Processor Time | 프로세서가 유휴 상태가 아닌 스레드를 실행하는 데 소요되는 경과된 시간의 백분율입니다. | 평균 80% 미만 | 프로세서 시간이 예상보다 훨씬 많은 특정 프로세스가 있는지 확인합니다. 프로세서를 더 추가합니다. 서버당 트래픽 양을 줄입니다. 가상 서버에서 "프로세서(_Total)% 프로세서 시간" 카운터의 정확도가 낮을 수 있습니다. 이 경우 프로세서 전원 부족을 측정하는 보다 정확한 방법은 "System\Processor Queue Length" 카운터를 통해서입니다. |
| System\Context Switches\sec | 모든 프로세서가 한 스레드에서 다른 스레드로 전환되는 결합 속도입니다. | 5000*코어 미만(물리적 코어) | 프로세서 시간이 예상보다 훨씬 많은 특정 프로세스가 있는지 확인합니다. 프로세서를 더 추가합니다. 서버당 트래픽 양을 줄입니다. 가상 서버에서 "프로세서(_Total)% 프로세서 시간" 카운터의 정확도가 낮을 수 있습니다. 이 경우 프로세서 전원 부족을 측정하는 보다 정확한 방법은 "System\Processor Queue Length" 카운터를 통해서입니다. |
| System\Processor Queue Length | 실행할 준비가 되었으며 예약되기를 기다리는 스레드 수입니다. | 5*코어 미만(물리적 코어) | 프로세서 시간이 예상보다 훨씬 많은 특정 프로세스가 있는지 확인합니다. 프로세서를 더 추가합니다. 서버당 트래픽 양을 줄입니다. 가상 서버에서 "프로세서(_Total)% 프로세서 시간" 카운터의 정확도가 낮을 수 있습니다. 이 경우 프로세서 전원 부족을 측정하는 보다 정확한 방법은 "System\Processor Queue Length" 카운터를 통해서입니다. |
| \Memory\Available MBytes | 할당에 사용할 수 있는 실제 메모리(RAM)의 양입니다. | 512 이상이어야 합니다. | 실제 메모리가 예상보다 훨씬 많은 특정 프로세스가 있는지 확인합니다. 실제 메모리의 양을 늘입니다. 서버당 트래픽 양을 줄입니다. |
| LogicalDisk(*)\Avg. Disk sec\Read | 디스크에서 데이터를 읽기 위한 평균 대기 시간(인스턴스로 데이터베이스 드라이브를 선택해야 합니다). | 10밀리초 미만이어야 합니다. | 데이터베이스 드라이브를 사용하는 특정 프로세스가 예상보다 많은지 확인합니다. 10ms 미만의 대기 시간이 있는 동안 이 드라이브가 현재 워크로드를 제공할 수 있는 경우 스토리지 팀/공급업체에 문의하세요. 현재 워크로드는 디스크 사용률 카운터를 사용하여 확인할 수 있습니다. |
| LogicalDisk(*)\Avg. Disk sec\Write | 디스크에 데이터를 쓰기 위한 평균 대기 시간(인스턴스로 데이터베이스 드라이브를 선택해야 합니다). | 10밀리초 미만이어야 합니다. | 데이터베이스 드라이브를 사용하는 특정 프로세스가 예상보다 많은지 확인합니다. 10ms 미만의 대기 시간이 있는 동안 이 드라이브가 현재 워크로드를 제공할 수 있는 경우 스토리지 팀\공급업체에 문의하세요. 현재 워크로드는 디스크 사용률 카운터를 사용하여 확인할 수 있습니다. |
| \LogicalDisk(*)\Disk Reads\sec | 디스크에 대한 읽기 작업을 수행하는 속도입니다. | 임계값 없음 | 디스크 사용률 카운터는 스토리지 대기 시간 문제를 해결할 때 인사이트를 추가할 수 있습니다. |
| \LogicalDisk(*)\Disk Read Bytes\sec | 디스크에서 읽는 초당 바이트 수입니다. | 임계값 없음 | 디스크 사용률 카운터는 스토리지 대기 시간 문제를 해결할 때 인사이트를 추가할 수 있습니다. |
| \LogicalDisk*\Disk Writes\sec | 디스크에 쓰기 작업을 수행하는 속도입니다. | 임계값 없음 | 디스크 사용률 카운터(스토리지 대기 시간 문제 해결 시 인사이트를 추가할 수 있습니다.) |
| \LogicalDisk(*)\Disk Write Bytes\sec | 디스크에 기록되는 초당 바이트 수입니다. | 임계값 없음 | 디스크 사용률 카운터는 스토리지 대기 시간 문제를 해결할 때 인사이트를 추가할 수 있습니다. |