Planowanie pojemności wdrożenia usługi Microsoft Defender for Identity
W tym artykule opisano sposób używania narzędzia do określania rozmiaru usługi Microsoft Defender for Identity w celu określenia, czy serwery kontrolera domeny mają wystarczającą ilość zasobów dla czujnika usługi Microsoft Defender for Identity.
Chociaż wydajność kontrolera domeny może nie mieć wpływu, jeśli serwer nie ma wymaganych zasobów, czujnik usługi Defender for Identity może nie działać zgodnie z oczekiwaniami. Aby uzyskać więcej informacji, zobacz Wymagania wstępne usługi Microsoft Defender for Identity.
Narzędzie określania rozmiaru mierzy pojemność wymaganą tylko dla kontrolerów domeny. Nie ma potrzeby uruchamiania go na serwerach usług AD FS / AD CS, ponieważ wpływ wydajności na serwery usług AD FS / AD CS jest bardzo minimalny, aby nie istniał.
Napiwek
Domyślnie usługa Defender for Identity obsługuje maksymalnie 350 czujników. Aby zainstalować więcej czujników, skontaktuj się z pomocą techniczną usługi Defender for Identity.
Wymagania wstępne
- Pobierz narzędzie do określania rozmiaru usługi Defender for Identity.
- Zapoznaj się z artykułem Dotyczącym architektury usługi Defender for Identity.
- Zapoznaj się z artykułem Wymagania wstępne dotyczące usługi Defender for Identity.
Aby zapewnić dokładne wyniki, uruchom narzędzie do określania rozmiaru tylko przed zainstalowaniem jakichkolwiek czujników usługi Defender for Identity w danym środowisku.
Korzystanie z narzędzia do określania rozmiaru
Uruchom narzędzie do określania rozmiaru usługi Defender for Identity, TriSizingTool.exe, z pobranego pliku zip.
Po zakończeniu działania narzędzia otwórz wyniki pliku programu Excel.
W pliku programu Excel znajdź i wybierz arkusz podsumowania usługi Azure ATP, a następnie sprawdź kolumnę Sensor Supported (Obsługiwane przez czujnik), aby uzyskać wyniki wskazujące, czy serwer jest obsługiwany.
Na przykład:
Uwaga
Drugi arkusz w pliku jest używany do planowania usługi Advanced Threat Analytics (ATA) i nie jest wymagany dla usługi Defender for Identity.
Narzędzie określania rozmiaru określa, czy serwer jest obsługiwany na podstawie wartości Zajęty pakiety/sekunda , która jest obliczana na podstawie 15 najbardziej ruchliwych minut w okresie 24 godzin.
Typowe wyniki obejmują:
| Result | opis |
|---|---|
| Tak | Czujnik jest obsługiwany na serwerze |
| Tak, ale wymagane są dodatkowe zasoby | Czujnik jest obsługiwany na serwerze tak długo, jak długo dodajesz wszystkie brakujące zasoby. |
| Być może | Bieżąca wartość zajętych pakietów/sekund może być znacznie wyższa w tym momencie niż średnia. Sprawdź znaczniki czasu, aby zrozumieć procesy uruchomione w tym czasie i sprawdzić, czy można ograniczyć przepustowość tych procesów w normalnych okolicznościach. |
| Być może, ale wymagane są dodatkowe zasoby | Czujnik może być obsługiwany na serwerze tak długo, jak długo dodajesz określone brakujące zasoby lub pakiety zajęte / Drugi może być powyżej 60K |
| Nie | Czujnik nie jest obsługiwany na serwerze. Bieżąca wartość zajętych pakietów/sekund może być znacznie wyższa w tym momencie niż średnia. Sprawdź znaczniki czasu, aby zrozumieć procesy uruchomione w tym czasie i sprawdzić, czy można ograniczyć przepustowość tych procesów w normalnych okolicznościach. |
| Brakujące dane systemu operacyjnego | Wystąpił problem podczas odczytywania danych systemu operacyjnego. Upewnij się, że połączenie z serwerem jest w stanie zdalnie wykonywać zapytania w usłudze WMI. |
| Brakujące dane ruchu | Wystąpił problem podczas odczytywania danych ruchu. Upewnij się, że połączenie z serwerem jest w stanie zdalnie wykonywać zapytania dotyczące liczników wydajności. |
| Brakujące dane pamięci RAM | Wystąpił problem podczas odczytywania danych pamięci RAM. Upewnij się, że połączenie z serwerem jest w stanie zdalnie wykonywać zapytania w usłudze WMI. |
| Brakujące dane podstawowe | Wystąpił problem podczas odczytywania podstawowych danych. Upewnij się, że połączenie z serwerem jest w stanie zdalnie wykonywać zapytania w usłudze WMI. |
Na przykład na poniższej ilustracji przedstawiono zestaw wyników, w których wartość Może wskazuje, że wartość Zajęty pakiety/sekunda jest znacznie wyższa w tym punkcie niż średnia. Należy pamiętać, że wartość Wyświetl czasy kontrolera domeny jako czasu UTC/lokalnego jest ustawiona na wartość Czas lokalnego kontrolera domeny. To ustawienie pomaga podkreślić fakt, że wartości zostały wykonane około godziny 3:30.
Szacowany rozmiar czujnika usługi Defender for Identity
W poniższej tabeli przedstawiono szacowaną pojemność procesora CPU i pamięci RAM wymaganą dla czujnika usługi Defender for Identity na podstawie typowej ilości ruchu sieciowego generowanego przez kontroler domeny.
Ta tabela jest oszacowaniem. Ostateczna ilość analiz czujnika zależy od ilości ruchu i rozkładu ruchu.
| Pakiety zajęte /sekunda | Procesor CPU (rdzenie fizyczne) | RAM (GB) |
|---|---|---|
| 0–1k | 0.25 | 2,50 |
| 1k-5k | 0.75 | 6,00 |
| 5k-10 tys. | 1.00 | 6.50 |
| 10k-20k | 2.00 | 9.00 |
| 20k-50k | 3.50 | 9.50 |
| 50k-75k | 5.50 | 11.50 |
| 75k-100 tys. | 7.50 | 13.50 |
W tej tabeli:
Pojemność procesora CPU i pamięci RAM odnosi się do własnego użycia czujnika, a nie pojemności kontrolera domeny.
Pojemność procesora CPU nie obejmuje rdzeni hiperwątków. Zalecamy, aby nie pracować z rdzeniami hiperwątkowymi, co może spowodować problemy z kondycją w czujniku usługi Defender for Identity.
Podczas określania rozmiaru należy pamiętać o całkowitej liczbie rdzeni i całkowitej ilości pamięci, która będzie używana przez usługę czujnika.
Aby uzyskać więcej informacji, zobacz Ograniczenia zasobów.
Ręczne szacowanie rozmiaru dla kontrolerów domeny
Jeśli nie możesz użyć narzędzia do określania rozmiaru, możesz ręcznie oszacować, czy serwery kontrolera domeny mają wystarczającą ilość zasobów dla czujnika usługi Defender for Identity.
Ręcznie zbierz informacje licznika pakietu/sekundy ze wszystkich kontrolerów domeny w ciągu 24 godzin z niskim interwałem zbierania, na przykład 5 sekund. Dla każdego kontrolera domeny oblicz średnią dzienną i najbardziej ruchliwy okres (15 minut).
Różne narzędzia mogą pomóc w odnalezieniu średniego licznika pakietów/sekund dla kontrolera domeny. W tej procedurze opisano przykład użycia monitor wydajności w celu zebrania odpowiednich informacji.
Otwórz monitor wydajności i rozwiń pozycję Zestawy modułów zbierających dane.
Kliknij prawym przyciskiem myszy pozycję Zdefiniowane przez użytkownika i wybierz pozycję Nowy > zestaw modułów zbierających dane.
Wprowadź zrozumiałą nazwę zestawu modułów zbierających i wybierz pozycję Utwórz ręcznie (zaawansowane)..
W obszarze Jakiego typu dane chcesz uwzględnić? wybierz pozycję Utwórz dzienniki danych i Licznik wydajności.
Rozwiń węzeł Karta sieciowa , a następnie wybierz pozycję Pakiety/s i odpowiedni obszar roboczy. Jeśli nie masz pewności, który obszar roboczy ma być wybrany, wybierz pozycję <Wszystkie obszary robocze>. Wybierz pozycję Dodaj>OK, aby ukończyć krok.
Alternatywnie, jeśli wykonujesz ten krok z wiersza polecenia, uruchom polecenie
ipconfig /all, aby wyświetlić nazwę i konfigurację karty.Zmień interwał próbki na pięć sekund i zdefiniuj miejsce, w którym mają zostać zapisane dane.
W obszarze Tworzenie zestawu modułów zbierających dane wybierz pozycję Uruchom ten zestaw modułów zbierających dane teraz>Zakończ.
Powinien zostać wyświetlony utworzony zestaw modułu zbierającego dane z zielonym trójkątem wskazującym, że działa.
Po 24 godzinach zatrzymaj zestaw modułów zbierających dane. Kliknij prawym przyciskiem myszy zestaw modułu zbierającego dane i wybierz polecenie Zatrzymaj.
W Eksplorator plików przejdź do folderu, w którym zapisano plik blg. Kliknij go dwukrotnie, aby otworzyć go w monitor wydajności.
Wybierz licznik Pakiety na sekundę i zarejestruj wartości średnie i maksymalne.
Uwaga
Domyślnie usługa Defender for Identity obsługuje maksymalnie 350 czujników. Jeśli chcesz zainstalować więcej czujników, skontaktuj się z pomocą techniczną usługi Defender for Identity.