Rozwiązywanie problemów z usługą ATA przy użyciu liczników wydajności
Dotyczy: Advanced Threat Analytics w wersji 1.9
Liczniki wydajności usługi ATA zapewniają wgląd w wydajność poszczególnych składników usługi ATA. Składniki usługi ATA przetwarzają dane sekwencyjnie, dzięki czemu w przypadku wystąpienia problemu może to spowodować częściowe porzucanie ruchu w całym łańcuchu składników. Aby rozwiązać ten problem, należy ustalić, który składnik jest backfiring i rozwiązać problem na początku łańcucha. Użyj danych znalezionych w licznikach wydajności, aby zrozumieć, jak działa każdy składnik. Zapoznaj się z architekturą usługi ATA, aby zrozumieć przepływ wewnętrznych składników usługi ATA.
Proces składnika usługi ATA:
Gdy składnik osiągnie maksymalny rozmiar, uniemożliwia poprzedniemu składnikowi wysyłanie do niego większej liczby jednostek.
Następnie w końcu poprzedni składnik zacznie zwiększać własny rozmiar, dopóki nie zablokuje składnika przed nim, od wysyłania większej liczby jednostek.
Dzieje się tak w drodze powrotnej do składnika NetworkListener, co spowoduje spadek ruchu, gdy nie może już przekazywać jednostek.
Pobieranie plików monitora wydajności na potrzeby rozwiązywania problemów
Aby pobrać pliki monitora wydajności (BLG) z różnych składników usługi ATA:
- Otwórz plik perfmon.
- Zatrzymaj zestaw modułów zbierających dane o nazwie: Brama usługi Microsoft ATA lub Centrum usługi Microsoft ATA.
- Przejdź do folderu zestawu modułów zbierających dane (domyślnie jest to folder "C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" lub "C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Skopiuj plik BLG, który został ostatnio zmodyfikowany.
- Uruchom ponownie zestaw modułów zbierających dane o nazwie: Brama usługi Microsoft ATA lub Centrum usługi Microsoft ATA.
Liczniki wydajności bramy usługi ATA
W tej sekcji każde odwołanie do bramy usługi ATA odnosi się również do uproszczonej bramy usługi ATA.
Możesz obserwować stan wydajności bramy usługi ATA w czasie rzeczywistym, dodając liczniki wydajności bramy usługi ATA. W tym celu należy otworzyć monitor wydajności i dodać wszystkie liczniki dla bramy usługi ATA. Nazwa obiektu licznika wydajności to: Brama usługi Microsoft ATA.
Oto lista głównych liczników bramy usługi ATA, które należy zwrócić uwagę na:
| Licznik | opis | Threshold | Rozwiązywanie problemów |
|---|---|---|---|
| Brama usługi Microsoft ATA\NetworkListener PEF przeanalizowane komunikaty\s | Ilość ruchu przetwarzanego przez bramę usługi ATA co sekundę. | Brak progu | Pomaga zrozumieć ilość ruchu analizowanego przez bramę usługi ATA. |
| NetworkListener PEF Porzucone zdarzenia\s | Ilość ruchu spadanego przez bramę usługi ATA co sekundę. | Ta liczba powinna być równa zero przez cały czas (rzadki krótki wzrost spadków jest akceptowalny). | Sprawdź, czy istnieje jakikolwiek składnik, który osiągnął maksymalny rozmiar i blokuje poprzednie składniki do elementu NetworkListener. Zapoznaj się z powyższym procesem składnika usługi ATA. Sprawdź, czy nie ma problemu z procesorem CPU lub pamięcią. |
| Microsoft ATA Gateway\NetworkListener ETW Dropped Events\Sec | Ilość ruchu spadanego przez bramę usługi ATA co sekundę. | Ta liczba powinna być równa zero przez cały czas (rzadki krótki wzrost spadków jest akceptowalny). | Sprawdź, czy istnieje jakikolwiek składnik, który osiągnął maksymalny rozmiar i blokuje poprzednie składniki do elementu NetworkListener. Zapoznaj się z powyższym procesem składnika usługi ATA. Sprawdź, czy nie ma problemu z procesorem CPU lub pamięcią. |
| Microsoft ATA Gateway\NetworkActivityTranslator Message Data # Block Size | Liczba ruchu w kolejce do tłumaczenia do działań sieciowych (NAs). | Powinna być mniejsza niż maksimum 1 (wartość domyślna maksymalna: 100 000) | Sprawdź, czy istnieje jakikolwiek składnik, który osiągnął maksymalny rozmiar i blokuje poprzednie składniki do elementu NetworkListener. Zapoznaj się z powyższym procesem składnika usługi ATA. Sprawdź, czy nie ma problemu z procesorem CPU lub pamięcią. |
| Microsoft ATA Gateway\EntityResolver Activity Block Size | Liczba działań sieciowych (NA) w kolejce do rozwiązania. | Powinna być mniejsza niż maksimum 1 (wartość domyślna maksymalna: 10 000) | Sprawdź, czy istnieje jakikolwiek składnik, który osiągnął maksymalny rozmiar i blokuje poprzednie składniki do elementu NetworkListener. Zapoznaj się z powyższym procesem składnika usługi ATA. Sprawdź, czy nie ma problemu z procesorem CPU lub pamięcią. |
| Microsoft ATA Gateway\EntitySender Entity Batch Block Size | Liczba działań sieciowych (NA) w kolejce do wysłania do centrum usługi ATA. | Powinna być mniejsza niż wartość maksymalna–1 (wartość domyślna: 1 000 000) | Sprawdź, czy istnieje jakikolwiek składnik, który osiągnął maksymalny rozmiar i blokuje poprzednie składniki do elementu NetworkListener. Zapoznaj się z powyższym procesem składnika usługi ATA. Sprawdź, czy nie ma problemu z procesorem CPU lub pamięcią. |
| Microsoft ATA Gateway\EntitySender Batch Send Time | Czas wysłania ostatniej partii. | W większości przypadków powinna być mniejsza niż 1000 milisekund | Sprawdź, czy występują problemy z siecią między bramą usługi ATA a centrum usługi ATA. |
Uwaga
- Liczniki czasowe są w milisekundach.
- Czasami wygodniejsze jest monitorowanie pełnej listy liczników przy użyciu typu wykresu Raport (na przykład: monitorowanie wszystkich liczników w czasie rzeczywistym)
Liczniki wydajności uproszczonej bramy usługi ATA
Liczniki wydajności mogą służyć do zarządzania limitami przydziału w uproszczonej bramie, aby upewnić się, że usługa ATA nie opróżnia zbyt wielu zasobów z kontrolerów domeny, na których jest zainstalowana. Aby zmierzyć ograniczenia zasobów wymuszane przez usługę ATA w uproszczonej bramie, dodaj te liczniki.
W tym celu należy otworzyć monitor wydajności i dodać wszystkie liczniki dla uproszczonej bramy usługi ATA. Nazwy obiektów licznika wydajności to: Microsoft ATA Gateway i Microsoft ATA Gateway Updater.
| Licznik | opis | Threshold | Rozwiązywanie problemów |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Cpu Time Max % | Maksymalny czas procesora CPU (w procentach), który może zużywać proces uproszczonej bramy. | Brak progu. | Jest to ograniczenie, które chroni zasoby kontrolera domeny przed korzystaniem z uproszczonej bramy usługi ATA. Jeśli widzisz, że proces osiąga maksymalny limit często w danym okresie (proces osiągnie limit, a następnie zaczyna spadać ruch), oznacza to, że musisz dodać więcej zasobów do serwera z uruchomionym kontrolerem domeny. |
| Aktualizator bramy usługi Microsoft ATA\GatewayUpdaterResourceManager Zatwierdzanie maksymalnego rozmiaru pamięci | Maksymalna ilość zatwierdzonej pamięci (w bajtach), którą może zużywać proces uproszczonej bramy. | Brak progu. | Jest to ograniczenie, które chroni zasoby kontrolera domeny przed korzystaniem z uproszczonej bramy usługi ATA. Jeśli widzisz, że proces osiąga maksymalny limit często w danym okresie (proces osiągnie limit, a następnie zaczyna spadać ruch), oznacza to, że musisz dodać więcej zasobów do serwera z uruchomionym kontrolerem domeny. |
| Aktualizator bramy usługi Microsoft ATA\GatewayUpdaterResourceManager Rozmiar limitu zestawu roboczego | Maksymalna ilość pamięci fizycznej (w bajtach), którą może zużywać proces uproszczonej bramy. | Brak progu. | Jest to ograniczenie, które chroni zasoby kontrolera domeny przed korzystaniem z uproszczonej bramy usługi ATA. Jeśli widzisz, że proces osiąga maksymalny limit często w danym okresie (proces osiągnie limit, a następnie zaczyna spadać ruch), oznacza to, że musisz dodać więcej zasobów do serwera z uruchomionym kontrolerem domeny. |
Aby zobaczyć rzeczywiste użycie, zapoznaj się z następującymi licznikami:
| Licznik | opis | Threshold | Rozwiązywanie problemów |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Czas procesora | Ilość czasu procesora CPU (w procentach), który jest rzeczywiście zużywany przez proces uproszczonej bramy. | Brak progu. | Porównaj wyniki tego licznika z limitem znalezionym w kolumnie GatewayUpdaterResourceManager Cpu Time Max %. Jeśli widzisz, że proces osiąga maksymalny limit często w danym okresie (proces osiągnie limit, a następnie zaczyna spadać ruch), oznacza to, że musisz przeznaczyć więcej zasobów na uproszczoną bramę. |
| Process(Microsoft.Tri.Gateway)\Bajty prywatne | Ilość zatwierdzonej pamięci (w bajtach), z których rzeczywiście korzysta proces uproszczonej bramy. | Brak progu. | Porównaj wyniki tego licznika z limitem znalezionym w kolumnie GatewayUpdaterResourceManager Commit Memory Max Size (Maksymalny rozmiar pamięci zatwierdzenia przez menedżera gatewayUpdaterResourceManager). Jeśli widzisz, że proces osiąga maksymalny limit często w danym okresie (proces osiągnie limit, a następnie zaczyna spadać ruch), oznacza to, że musisz przeznaczyć więcej zasobów na uproszczoną bramę. |
| Process(Microsoft.Tri.Gateway)\Zestaw roboczy | Ilość pamięci fizycznej (w bajtach), z których rzeczywiście korzysta proces uproszczonej bramy. | Brak progu. | Porównaj wyniki tego licznika z limitem znalezionym w artykule GatewayUpdaterResourceManager Working Set Limit Size (Rozmiar limitu zestawu roboczego gatewayUpdaterResourceManager). Jeśli widzisz, że proces osiąga maksymalny limit często w danym okresie (proces osiągnie limit, a następnie zaczyna spadać ruch), oznacza to, że musisz przeznaczyć więcej zasobów na uproszczoną bramę. |
Liczniki wydajności centrum usługi ATA
Możesz obserwować stan wydajności centrum usługi ATA w czasie rzeczywistym, dodając liczniki wydajności centrum usługi ATA.
W tym celu należy otworzyć monitor wydajności i dodać wszystkie liczniki centrum usługi ATA. Nazwa obiektu licznika wydajności to: Centrum usługi Microsoft ATA.
Oto lista głównych liczników centrum usługi ATA, które należy zwrócić uwagę na:
| Licznik | opis | Threshold | Rozwiązywanie problemów |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | Liczba partii jednostek w kolejce przez centrum usługi ATA. | Powinna być mniejsza niż maksimum 1 (wartość domyślna maksymalna: 10 000) | Sprawdź, czy istnieje jakikolwiek składnik, który osiągnął maksymalny rozmiar i blokuje poprzednie składniki do elementu NetworkListener. Zapoznaj się z poprzednim procesem składnika usługi ATA. Sprawdź, czy nie ma problemu z procesorem CPU lub pamięcią. |
| Microsoft ATA Center\NetworkActivityProcessor Network Activity Block Size | Liczba działań sieciowych (NA) w kolejce do przetwarzania. | Powinna być mniejsza niż maksimum 1 (wartość domyślna maksymalna: 50 000) | Sprawdź, czy istnieje jakikolwiek składnik, który osiągnął maksymalny rozmiar i blokuje poprzednie składniki do elementu NetworkListener. Zapoznaj się z poprzednim procesem składnika usługi ATA. Sprawdź, czy nie ma problemu z procesorem CPU lub pamięcią. |
| Microsoft ATA Center\EntityProfiler Network Activity Block Size | Liczba działań sieciowych (NA) w kolejce do profilowania. | Powinna być mniejsza niż maksimum 1 (wartość domyślna maksymalna: 100 000) | Sprawdź, czy istnieje jakikolwiek składnik, który osiągnął maksymalny rozmiar i blokuje poprzednie składniki do elementu NetworkListener. Zapoznaj się z poprzednim procesem składnika usługi ATA. Sprawdź, czy nie ma problemu z procesorem CPU lub pamięcią. |
| Centrum usługi Microsoft ATA\Baza danych * Rozmiar bloku | Liczba działań sieciowych określonego typu, które mają zostać zapisane w bazie danych. | Powinna być mniejsza niż maksimum 1 (wartość domyślna maksymalna: 50 000) | Sprawdź, czy istnieje jakikolwiek składnik, który osiągnął maksymalny rozmiar i blokuje poprzednie składniki do elementu NetworkListener. Zapoznaj się z poprzednim procesem składnika usługi ATA. Sprawdź, czy nie ma problemu z procesorem CPU lub pamięcią. |
Uwaga
- Liczniki czasowe są w milisekundach
- Czasami wygodniejsze jest monitorowanie pełnej listy liczników przy użyciu typu wykresu dla raportu (na przykład: monitorowanie wszystkich liczników w czasie rzeczywistym).
Liczniki systemu operacyjnego
W poniższej tabeli wymieniono główne liczniki systemu operacyjnego, które należy zwrócić uwagę na:
| Licznik | opis | Threshold | Rozwiązywanie problemów |
|---|---|---|---|
| \Procesor (_Suma)% czasu procesora | Procent czasu, jaki upłynął procesor, aby wykonać wątek bezczynności. | Średnio mniej niż 80% | Sprawdź, czy istnieje określony proces, który zajmuje o wiele więcej czasu procesora niż powinien. Dodaj więcej procesorów. Zmniejsz ilość ruchu na serwer. Licznik "Procesor (_Total)% czasu procesora" może być mniej dokładny na serwerach wirtualnych, w tym przypadku bardziej dokładny sposób pomiaru braku mocy procesora jest za pomocą licznika "System\Processor Queue Length". |
| Przełączniki systemowe\kontekstowe\s | Łączna szybkość, z jaką wszystkie procesory są przełączane z jednego wątku na inny. | Mniej niż 5000*rdzeni (rdzenie fizyczne) | Sprawdź, czy istnieje określony proces, który zajmuje o wiele więcej czasu procesora niż powinien. Dodaj więcej procesorów. Zmniejsz ilość ruchu na serwer. Licznik "Procesor (_Total)% czasu procesora" może być mniej dokładny na serwerach wirtualnych, w tym przypadku bardziej dokładny sposób pomiaru braku mocy procesora jest za pomocą licznika "System\Processor Queue Length". |
| System\Processor Queue Length | Liczba wątków gotowych do wykonania i czeka na zaplanowanie. | Mniej niż pięć*rdzeni (rdzenie fizyczne) | Sprawdź, czy istnieje określony proces, który zajmuje o wiele więcej czasu procesora niż powinien. Dodaj więcej procesorów. Zmniejsz ilość ruchu na serwer. Licznik "Procesor (_Total)% czasu procesora" może być mniej dokładny na serwerach wirtualnych, w tym przypadku bardziej dokładny sposób pomiaru braku mocy procesora jest za pomocą licznika "System\Processor Queue Length". |
| Pamięć\Dostępne bajty MByte | Ilość pamięci fizycznej (RAM) dostępna do alokacji. | Powinna być większa niż 512 | Sprawdź, czy istnieje konkretny proces, który zajmuje o wiele więcej pamięci fizycznej niż powinien. Zwiększ ilość pamięci fizycznej. Zmniejsz ilość ruchu na serwer. |
| Dysk logiczny(*)\Średni dysk s\Odczyt | Średnie opóźnienie odczytu danych z dysku (należy wybrać dysk bazy danych jako wystąpienie). | Powinna być mniejsza niż 10 milisekund | Sprawdź, czy istnieje konkretny proces korzystający z dysku bazy danych więcej niż powinien. Skontaktuj się z zespołem/dostawcą magazynu, jeśli ten dysk może dostarczyć bieżące obciążenie przy mniejszym niż 10 ms opóźnienia. Bieżące obciążenie można określić przy użyciu liczników wykorzystania dysku. |
| Dysk logiczny(*)\Średni dysk s\Zapis | Średnie opóźnienie zapisu danych na dysku (należy wybrać dysk bazy danych jako wystąpienie). | Powinna być mniejsza niż 10 milisekund | Sprawdź, czy istnieje konkretny proces korzystający z dysku bazy danych więcej niż powinien. Skontaktuj się z zespołem magazynu\dostawcą, jeśli ten dysk może dostarczyć bieżące obciążenie przy mniejszym niż 10 ms opóźnienia. Bieżące obciążenie można określić przy użyciu liczników wykorzystania dysku. |
| \LogicalDisk(*)\Disk Reads\sec | Szybkość wykonywania operacji odczytu na dysku. | Brak progu | Liczniki wykorzystania dysku mogą dodawać szczegółowe informacje podczas rozwiązywania problemów z opóźnieniem magazynu. |
| \LogicalDisk(*)\Disk Read Bytes\sec | Liczba bajtów na sekundę odczytywanych z dysku. | Brak progu | Liczniki wykorzystania dysku mogą dodawać szczegółowe informacje podczas rozwiązywania problemów z opóźnieniem magazynu. |
| \LogicalDisk*\Disk Writes\sec | Szybkość wykonywania operacji zapisu na dysku. | Brak progu | Liczniki wykorzystania dysku (mogą dodawać szczegółowe informacje podczas rozwiązywania problemów z opóźnieniem magazynu) |
| \LogicalDisk(*)\Disk Write Bytes\sec | Liczba bajtów na sekundę zapisywanych na dysku. | Brak progu | Liczniki wykorzystania dysku mogą dodawać szczegółowe informacje podczas rozwiązywania problemów z opóźnieniem magazynu. |