Problemen met ATA oplossen met behulp van de prestatiemeteritems
Van toepassing op: Advanced Threat Analytics versie 1.9
De ATA-prestatiemeteritems bieden inzicht in hoe goed elk onderdeel van ATA presteert. De onderdelen in ATA verwerken gegevens sequentieel, zodat wanneer er een probleem is, het gedeeltelijk verbroken verkeer ergens langs de keten van onderdelen kan veroorzaken. Om het probleem op te lossen, moet u achterhalen welk onderdeel backfiring is en het probleem aan het begin van de keten oplossen. Gebruik de gegevens in de prestatiemeteritems om te begrijpen hoe elk onderdeel werkt. Raadpleeg de ATA-architectuur om inzicht te hebben in de stroom van interne ATA-onderdelen.
ATA-onderdeelproces:
Wanneer een onderdeel de maximale grootte bereikt, blokkeert het dat het vorige onderdeel meer entiteiten naar het onderdeel verzendt.
Uiteindelijk begint het vorige onderdeel zijn eigen grootte te vergroten totdat het het onderdeel voordat het wordt geblokkeerd, van het verzenden van meer entiteiten.
Dit gebeurt helemaal terug naar het networkListener-onderdeel, waardoor verkeer wordt verwijderd wanneer entiteiten niet meer kunnen worden doorgestuurd.
Prestatiemeterbestanden ophalen voor probleemoplossing
De prestatiemeterbestanden (BLG) ophalen uit de verschillende ATA-onderdelen:
- Open perfmon.
- Stop de gegevensverzamelaarset met de naam Microsoft ATA Gateway of Microsoft ATA Center.
- Ga naar de map gegevensverzamelaarset (standaard is dit 'C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets' of 'C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets').
- Kopieer het BLG-bestand dat het laatst is gewijzigd.
- Start de gegevensverzamelaarset opnieuw met de naam Microsoft ATA Gateway of Microsoft ATA Center.
Prestatiemeteritems voor ATA Gateway
In deze sectie verwijst elke verwijzing naar ATA Gateway ook naar de ATA Lightweight-gateway.
U kunt de realtime prestatiestatus van de ATA Gateway observeren door de prestatiemeteritems van de ATA Gateway toe te voegen. Dit wordt gedaan door Prestatiemeter te openen en alle tellers voor de ATA Gateway toe te voegen. De naam van het prestatiemeteritemobject is: Microsoft ATA Gateway.
Hier volgt de lijst met de belangrijkste ATA Gateway-tellers om aandacht te besteden aan:
| Prestatiemeteritem | Omschrijving | Threshold | Problemen oplossen |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF Parsed Messages\Sec | De hoeveelheid verkeer dat elke seconde door de ATA Gateway wordt verwerkt. | Geen drempelwaarde | Helpt u inzicht te krijgen in de hoeveelheid verkeer dat wordt geparseerd door de ATA Gateway. |
| NetworkListener PEF verwijderde gebeurtenissen\sec | De hoeveelheid verkeer dat elke seconde door de ATA Gateway wordt verwijderd. | Dit getal moet altijd nul zijn (zeldzame korte pieken van druppels zijn acceptabel). | Controleer of er een onderdeel is dat de maximale grootte heeft bereikt en eerdere onderdelen helemaal naar de NetworkListener blokkeert. Raadpleeg het bovenstaande ATA-onderdeelproces . Controleer of er geen probleem is met de CPU of het geheugen. |
| Microsoft ATA Gateway\NetworkListener ETW verwijderde gebeurtenissen\sec | De hoeveelheid verkeer dat elke seconde door de ATA Gateway wordt verwijderd. | Dit getal moet altijd nul zijn (zeldzame korte pieken van druppels zijn acceptabel). | Controleer of er een onderdeel is dat de maximale grootte heeft bereikt en eerdere onderdelen helemaal naar de NetworkListener blokkeert. Raadpleeg het bovenstaande ATA-onderdeelproces . Controleer of er geen probleem is met de CPU of het geheugen. |
| Microsoft ATA Gateway\NetworkActivity Vertalen Berichtgegevens # Blokgrootte | De hoeveelheid verkeer in de wachtrij voor vertaling naar netwerkactiviteiten (NA's). | Moet kleiner zijn dan de maximum-1 (standaard maximum: 100.000) | Controleer of er een onderdeel is dat de maximale grootte heeft bereikt en eerdere onderdelen helemaal naar de NetworkListener blokkeert. Raadpleeg het bovenstaande ATA-onderdeelproces . Controleer of er geen probleem is met de CPU of het geheugen. |
| Microsoft ATA Gateway\EntityResolver Activity Block Size | Het aantal netwerkactiviteiten (NA's) dat in de wachtrij staat voor oplossing. | Moet kleiner zijn dan de maximum-1 (standaard maximum: 10.000) | Controleer of er een onderdeel is dat de maximale grootte heeft bereikt en eerdere onderdelen helemaal naar de NetworkListener blokkeert. Raadpleeg het bovenstaande ATA-onderdeelproces . Controleer of er geen probleem is met de CPU of het geheugen. |
| Microsoft ATA Gateway\EntitySender Entity Batch-blokgrootte | De hoeveelheid netwerkactiviteiten (NA's) die naar het ATA Center moet worden verzonden. | Moet kleiner zijn dan de maximum-1 (standaard maximum: 1.000.000) | Controleer of er een onderdeel is dat de maximale grootte heeft bereikt en eerdere onderdelen helemaal naar de NetworkListener blokkeert. Raadpleeg het bovenstaande ATA-onderdeelproces . Controleer of er geen probleem is met de CPU of het geheugen. |
| Microsoft ATA Gateway\EntitySender Batch Send Time | De hoeveelheid tijd die nodig was om de laatste batch te verzenden. | Moet meestal minder dan 1000 milliseconden zijn | Controleer of er netwerkproblemen zijn tussen de ATA Gateway en het ATA Center. |
Notitie
- Tijdtellers zijn in milliseconden.
- Het is soms handiger om de volledige lijst met tellers te bewaken met behulp van het grafiektype Rapport (bijvoorbeeld: realtime bewaking van alle tellers)
Prestatiemeteritems voor ATA Lightweight Gateway
De prestatiemeteritems kunnen worden gebruikt voor quotumbeheer in de Lightweight-gateway om ervoor te zorgen dat ATA niet te veel resources verbruikt van de domeincontrollers waarop deze is geïnstalleerd. Als u de resourcebeperkingen wilt meten die ATA afdwingt op de Lightweight-gateway, voegt u deze tellers toe.
Dit wordt gedaan door Prestatiemeter te openen en alle tellers voor de ATA Lightweight-gateway toe te voegen. De namen van de prestatiemeteritems zijn: Microsoft ATA Gateway en Microsoft ATA Gateway Updater.
| Prestatiemeteritem | Omschrijving | Threshold | Problemen oplossen |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU Time Max % | De maximale hoeveelheid CPU-tijd (in percentage) die het Lightweight Gateway-proces kan verbruiken. | Geen drempelwaarde. | Dit is de beperking die de domeincontrollerbronnen beschermt tegen gebruik door de ATA Lightweight-gateway. Als u ziet dat het proces de maximumlimiet vaak bereikt gedurende een bepaalde periode (het proces bereikt de limiet en vervolgens verkeer begint te verwijderen), betekent dit dat u meer resources moet toevoegen aan de server waarop de domeincontroller wordt uitgevoerd. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Commit Memory Max Size | De maximale hoeveelheid toegewezen geheugen (in bytes) die het Lightweight Gateway-proces kan gebruiken. | Geen drempelwaarde. | Dit is de beperking die de domeincontrollerbronnen beschermt tegen gebruik door de ATA Lightweight-gateway. Als u ziet dat het proces de maximumlimiet vaak bereikt gedurende een bepaalde periode (het proces bereikt de limiet en vervolgens verkeer begint te verwijderen), betekent dit dat u meer resources moet toevoegen aan de server waarop de domeincontroller wordt uitgevoerd. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Working Set Limit Size | De maximale hoeveelheid fysiek geheugen (in bytes) die het Lightweight Gateway-proces kan gebruiken. | Geen drempelwaarde. | Dit is de beperking die de domeincontrollerbronnen beschermt tegen gebruik door de ATA Lightweight-gateway. Als u ziet dat het proces de maximumlimiet vaak bereikt gedurende een bepaalde periode (het proces bereikt de limiet en vervolgens verkeer begint te verwijderen), betekent dit dat u meer resources moet toevoegen aan de server waarop de domeincontroller wordt uitgevoerd. |
Als u uw werkelijke verbruik wilt zien, raadpleegt u de volgende tellers:
| Prestatiemeteritem | Omschrijving | Threshold | Problemen oplossen |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Processortijd | De hoeveelheid CPU-tijd (in percentage) die het Lightweight Gateway-proces daadwerkelijk verbruikt. | Geen drempelwaarde. | Vergelijk de resultaten van deze teller met de limiet die is gevonden in GatewayUpdaterResourceManager CPU Time Max %. Als u ziet dat het proces de maximumlimiet vaak bereikt gedurende een bepaalde periode (het proces bereikt de limiet en vervolgens verkeer begint te verwijderen), betekent dit dat u meer resources moet toewijzen aan de Lightweight-gateway. |
| Process(Microsoft.Tri.Gateway)\Privébytes | De hoeveelheid toegewezen geheugen (in bytes) die het Lightweight Gateway-proces daadwerkelijk verbruikt. | Geen drempelwaarde. | Vergelijk de resultaten van deze teller met de limiet die is gevonden in GatewayUpdaterResourceManager Commit Memory Max Size. Als u ziet dat het proces de maximumlimiet vaak bereikt gedurende een bepaalde periode (het proces bereikt de limiet en vervolgens verkeer begint te verwijderen), betekent dit dat u meer resources moet toewijzen aan de Lightweight-gateway. |
| Process(Microsoft.Tri.Gateway)\Werkset | De hoeveelheid fysiek geheugen (in bytes) die het Lightweight Gateway-proces daadwerkelijk verbruikt. | Geen drempelwaarde. | Vergelijk de resultaten van deze teller met de limiet die is gevonden in GatewayUpdaterResourceManager Working Set Limit Size. Als u ziet dat het proces de maximumlimiet vaak bereikt gedurende een bepaalde periode (het proces bereikt de limiet en vervolgens verkeer begint te verwijderen), betekent dit dat u meer resources moet toewijzen aan de Lightweight-gateway. |
ATA Center-prestatiemeteritems
U kunt de realtime prestatiestatus van het ATA Center observeren door de prestatiemeteritems van ATA Center toe te voegen.
Dit wordt gedaan door Prestatiemeter te openen en alle tellers voor het ATA Center toe te voegen. De naam van het prestatiemeteritemobject is: Microsoft ATA Center.
Hier volgt de lijst met de belangrijkste ATA Center-tellers om aandacht te besteden aan:
| Prestatiemeteritem | Omschrijving | Threshold | Problemen oplossen |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch-blokgrootte | Het aantal entiteitsbatches dat in de wachtrij is geplaatst door ATA Center. | Moet kleiner zijn dan de maximum-1 (standaard maximum: 10.000) | Controleer of er een onderdeel is dat de maximale grootte heeft bereikt en eerdere onderdelen helemaal naar de NetworkListener blokkeert. Raadpleeg het voorgaande ATA-onderdeelproces. Controleer of er geen probleem is met de CPU of het geheugen. |
| Microsoft ATA Center\NetworkActivityProcessor Network Activity Block Size | Het aantal netwerkactiviteiten (NA's) dat in de wachtrij staat voor verwerking. | Moet kleiner zijn dan de maximum-1 (standaard maximum: 50.000) | Controleer of er een onderdeel is dat de maximale grootte heeft bereikt en eerdere onderdelen helemaal naar de NetworkListener blokkeert. Raadpleeg het voorgaande ATA-onderdeelproces. Controleer of er geen probleem is met de CPU of het geheugen. |
| Microsoft ATA Center\EntityProfiler Network Activity Block Size | Het aantal netwerkactiviteiten (NA's) dat in de wachtrij staat voor profilering. | Moet kleiner zijn dan de maximum-1 (standaard maximum: 100.000) | Controleer of er een onderdeel is dat de maximale grootte heeft bereikt en eerdere onderdelen helemaal naar de NetworkListener blokkeert. Raadpleeg het voorgaande ATA-onderdeelproces. Controleer of er geen probleem is met de CPU of het geheugen. |
| Microsoft ATA Center\Database * Blokgrootte | Het aantal netwerkactiviteiten, van een specifiek type, dat in de wachtrij wordt geplaatst om naar de database te worden geschreven. | Moet kleiner zijn dan de maximum-1 (standaard maximum: 50.000) | Controleer of er een onderdeel is dat de maximale grootte heeft bereikt en eerdere onderdelen helemaal naar de NetworkListener blokkeert. Raadpleeg het voorgaande ATA-onderdeelproces. Controleer of er geen probleem is met de CPU of het geheugen. |
Notitie
- Tijdtellers zijn in milliseconden
- Het is soms handiger om de volledige lijst met tellers te bewaken met behulp van het grafiektype voor Rapport (bijvoorbeeld: realtime bewaking van alle tellers).
Prestatiemeteritems voor besturingssystemen
De volgende tabel bevat de belangrijkste prestatiemeteritems van het besturingssysteem om aandacht te besteden aan:
| Prestatiemeteritem | Omschrijving | Threshold | Problemen oplossen |
|---|---|---|---|
| Processor(_Total)% Processor Time | Het percentage verstreken tijd dat de processor besteedt aan het uitvoeren van een niet-inactieve thread. | Gemiddeld minder dan 80% | Controleer of er een specifiek proces is dat veel meer processortijd in beslag neemt dan nodig is. Voeg meer processors toe. Verminder de hoeveelheid verkeer per server. De teller Processor (_Total)% processortijd is mogelijk minder nauwkeurig op virtuele servers, in welk geval de nauwkeurigere manier om het gebrek aan processorkracht te meten is via de teller 'System\Processor Queue Length'. |
| Systeem\Contextswitches\sec | De gecombineerde snelheid waarmee alle processors van de ene thread naar de andere worden overgeschakeld. | Minder dan 5000*kernen (fysieke kernen) | Controleer of er een specifiek proces is dat veel meer processortijd in beslag neemt dan nodig is. Voeg meer processors toe. Verminder de hoeveelheid verkeer per server. De teller Processor (_Total)% processortijd is mogelijk minder nauwkeurig op virtuele servers, in welk geval de nauwkeurigere manier om het gebrek aan processorkracht te meten is via de teller 'System\Processor Queue Length'. |
| Lengte van systeem\processorwachtrij | Het aantal threads dat gereed is om te worden uitgevoerd en wacht op gepland. | Minder dan vijf*kernen (fysieke kernen) | Controleer of er een specifiek proces is dat veel meer processortijd in beslag neemt dan nodig is. Voeg meer processors toe. Verminder de hoeveelheid verkeer per server. De teller Processor (_Total)% processortijd is mogelijk minder nauwkeurig op virtuele servers, in welk geval de nauwkeurigere manier om het gebrek aan processorkracht te meten is via de teller 'System\Processor Queue Length'. |
| Geheugen\Beschikbare MBytes | De hoeveelheid fysiek geheugen (RAM) die beschikbaar is voor toewijzing. | Moet meer dan 512 zijn | Controleer of er een specifiek proces is dat veel meer fysiek geheugen in beslag neemt dan het zou moeten. Verhoog de hoeveelheid fysiek geheugen. Verminder de hoeveelheid verkeer per server. |
| LogicalDisk(*)\Avg. Disk sec\Read | De gemiddelde latentie voor het lezen van gegevens van de schijf (kies het databasestation als het exemplaar). | Moet minder dan 10 milliseconden zijn | Controleer of er een specifiek proces is dat het databasestation meer gebruikt dan nodig is. Neem contact op met uw opslagteam/leverancier als dit station de huidige workload kan leveren met minder dan 10 ms latentie. De huidige werkbelasting kan worden bepaald met behulp van de prestatiemeteritems voor schijfgebruik. |
| LogicalDisk(*)\Avg. Disk sec\Write | De gemiddelde latentie voor het schrijven van gegevens naar de schijf (kies het databasestation als het exemplaar). | Moet minder dan 10 milliseconden zijn | Controleer of er een specifiek proces is dat het databasestation meer gebruikt dan nodig is. Neem contact op met uw opslagteam/leverancier als dit station de huidige workload kan leveren met minder dan 10 ms latentie. De huidige werkbelasting kan worden bepaald met behulp van de prestatiemeteritems voor schijfgebruik. |
| \LogicalDisk(*)\Disk Reads\sec | De snelheid waarmee leesbewerkingen naar de schijf worden uitgevoerd. | Geen drempelwaarde | Prestatiemeteritems voor schijfgebruik kunnen inzicht toevoegen bij het oplossen van problemen met opslaglatentie. |
| \LogicalDisk(*)\Disk Read Bytes\sec | Het aantal bytes per seconde dat van de schijf wordt gelezen. | Geen drempelwaarde | Prestatiemeteritems voor schijfgebruik kunnen inzicht toevoegen bij het oplossen van problemen met opslaglatentie. |
| \LogicalDisk*\Disk Writes\sec | De snelheid waarmee schrijfbewerkingen naar de schijf worden uitgevoerd. | Geen drempelwaarde | Prestatiemeteritems voor schijfgebruik (kunnen inzichten toevoegen bij het oplossen van problemen met de opslaglatentie) |
| \LogicalDisk(*)\Schijf schrijven bytes\sec | Het aantal bytes per seconde dat naar de schijf wordt geschreven. | Geen drempelwaarde | Prestatiemeteritems voor schijfgebruik kunnen inzicht toevoegen bij het oplossen van problemen met opslaglatentie. |