Partilhar via


Solução de problemas do ATA usando os contadores de desempenho

Aplica-se a: Advanced Threat Analytics versão 1.9

Os contadores de desempenho do ATA fornecem informações sobre o desempenho de cada componente do ATA. Os componentes no ATA processam dados sequencialmente, de modo que, quando há um problema, ele pode causar queda parcial de tráfego em algum lugar ao longo da cadeia de componentes. Para corrigir o problema, você tem que descobrir qual componente está saindo pela culatra e corrigir o problema no início da cadeia. Use os dados encontrados nos contadores de desempenho para entender como cada componente está funcionando. Consulte a arquitetura ATA para entender o fluxo de componentes internos do ATA.

Processo do componente ATA:

  1. Quando um componente atinge seu tamanho máximo, ele bloqueia o componente anterior de enviar mais entidades para ele.

  2. Então, eventualmente, o componente anterior começará a aumentar seu próprio tamanho até bloquear o componente antes dele, de enviar mais entidades.

  3. Isso acontece todo o caminho de volta para o componente NetworkListener, que irá diminuir o tráfego quando ele não pode mais encaminhar entidades.

Recuperando arquivos do monitor de desempenho para solução de problemas

Para recuperar os arquivos do monitor de desempenho (BLG) dos vários componentes do ATA:

  1. Abrir perfmon.
  2. Pare o conjunto de coletores de dados nomeado: Microsoft ATA Gateway ou Microsoft ATA Center.
  3. Vá para a pasta do conjunto de coletores de dados (por padrão, isso é "C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" ou "C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
  4. Copie o arquivo BLG que foi modificado mais recentemente.
  5. Reinicie o conjunto de coletores de dados nomeado: Microsoft ATA Gateway ou Microsoft ATA Center.

Contadores de desempenho do Gateway ATA

Nesta seção, todas as referências ao ATA Gateway referem-se também ao ATA Lightweight Gateway.

Você pode observar o status de desempenho em tempo real do Gateway ATA adicionando os contadores de desempenho do Gateway ATA. Isso é feito abrindo o Monitor de Desempenho e adicionando todos os contadores para o Gateway ATA. O nome do objeto do contador de desempenho é: Microsoft ATA Gateway.

Aqui está a lista dos principais contadores do ATA Gateway para prestar atenção:

Contador Descrição Threshold Resolução de problemas
Microsoft ATA Gateway\NetworkListener PEF Parsed Messages\Sec A quantidade de tráfego que está sendo processada pelo Gateway ATA a cada segundo. Sem limiar Ajuda a entender a quantidade de tráfego que está sendo analisada pelo Gateway do ATA.
Eventos descartados do PEF NetworkListener\Sec A quantidade de tráfego sendo descartada pelo Gateway ATA a cada segundo. Este número deve ser zero o tempo todo (raras rajadas curtas de gotas são aceitáveis). Verifique se há algum componente que atingiu seu tamanho máximo e está bloqueando componentes anteriores até o NetworkListener. Consulte o Processo de componentes do ATA acima.

Verifique se não há nenhum problema com a CPU ou a memória.
Microsoft ATA Gateway\NetworkListener ETW descartou eventos\s A quantidade de tráfego sendo descartada pelo Gateway ATA a cada segundo. Este número deve ser zero o tempo todo (raras rajadas curtas de gotas são aceitáveis). Verifique se há algum componente que atingiu seu tamanho máximo e está bloqueando componentes anteriores até o NetworkListener. Consulte o Processo de componentes do ATA acima.

Verifique se não há nenhum problema com a CPU ou a memória.
Microsoft ATA Gateway\NetworkActivityTranslator Message Data # Tamanho do bloco A quantidade de tráfego enfileirado para conversão para Atividades de Rede (NAs). Deve ser menor que o máximo-1 (máximo padrão: 100.000) Verifique se há algum componente que atingiu seu tamanho máximo e está bloqueando componentes anteriores até o NetworkListener. Consulte o Processo de componentes do ATA acima.

Verifique se não há nenhum problema com a CPU ou a memória.
Microsoft ATA Gateway\Tamanho do bloco de atividade EntityResolver O número de atividades de rede (NAs) enfileiradas para resolução. Deve ser menor que o máximo-1 (máximo padrão: 10.000) Verifique se há algum componente que atingiu seu tamanho máximo e está bloqueando componentes anteriores até o NetworkListener. Consulte o Processo de componentes do ATA acima.

Verifique se não há nenhum problema com a CPU ou a memória.
Microsoft ATA Gateway\Tamanho do Bloco de Lote de Entidade EntitySender A quantidade de Atividades de Rede (NAs) enfileiradas para serem enviadas ao Centro do ATA. Deve ser menor que o máximo-1 (máximo padrão: 1.000.000) Verifique se há algum componente que atingiu seu tamanho máximo e está bloqueando componentes anteriores até o NetworkListener. Consulte o Processo de componentes do ATA acima.

Verifique se não há nenhum problema com a CPU ou a memória.
Microsoft ATA Gateway\EntitySender Batch Send Time O tempo necessário para enviar o último lote. Deve ser inferior a 1000 milissegundos na maioria das vezes Verifique se há algum problema de rede entre o Gateway do ATA e o Centro do ATA.

Nota

  • Os contadores cronometrados são em milissegundos.
  • Às vezes, é mais conveniente monitorar a lista completa dos contadores usando o tipo de gráfico Relatório (exemplo: monitoramento em tempo real de todos os contadores)

Contadores de desempenho do ATA Lightweight Gateway

Os contadores de desempenho podem ser usados para gerenciamento de cotas no Lightweight Gateway, para garantir que o ATA não drene muitos recursos dos controladores de domínio nos quais está instalado. Para medir as limitações de recursos que o ATA impõe no Lightweight Gateway, adicione esses contadores.

Isso é feito abrindo o Monitor de Desempenho e adicionando todos os contadores para o ATA Lightweight Gateway. Os nomes dos objetos do contador de desempenho são: Microsoft ATA Gateway e Microsoft ATA Gateway Updater.

Contador Descrição Threshold Resolução de problemas
Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU Time Max % A quantidade máxima de tempo de CPU (em percentagem) que o processo do Lightweight Gateway pode consumir. Sem limiar. Esta é a limitação que protege os recursos do controlador de domínio de serem usados pelo ATA Lightweight Gateway. Se você vir que o processo atinge o limite máximo muitas vezes durante um período de tempo (o processo atinge o limite e, em seguida, começa a soltar tráfego), isso significa que você precisa adicionar mais recursos ao servidor que executa o controlador de domínio.
Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Commit Memory Max Size A quantidade máxima de memória confirmada (em bytes) que o processo do Lightweight Gateway pode consumir. Sem limiar. Esta é a limitação que protege os recursos do controlador de domínio de serem usados pelo ATA Lightweight Gateway. Se você vir que o processo atinge o limite máximo muitas vezes durante um período de tempo (o processo atinge o limite e, em seguida, começa a soltar tráfego), isso significa que você precisa adicionar mais recursos ao servidor que executa o controlador de domínio.
Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Tamanho do limite do conjunto de trabalho A quantidade máxima de memória física (em bytes) que o processo do Lightweight Gateway pode consumir. Sem limiar. Esta é a limitação que protege os recursos do controlador de domínio de serem usados pelo ATA Lightweight Gateway. Se você vir que o processo atinge o limite máximo muitas vezes durante um período de tempo (o processo atinge o limite e, em seguida, começa a soltar tráfego), isso significa que você precisa adicionar mais recursos ao servidor que executa o controlador de domínio.

Para ver o seu consumo real, consulte os seguintes contadores:

Contador Descrição Threshold Resolução de problemas
Processo(Microsoft.Tri.Gateway)%Tempo do processador A quantidade de tempo de CPU (em porcentagem) que o processo do Lightweight Gateway está realmente consumindo. Sem limiar. Compare os resultados desse contador com o limite encontrado em GatewayUpdaterResourceManager CPU Time Max %. Se você vir que o processo atinge o limite máximo muitas vezes durante um período de tempo (o processo atinge o limite e, em seguida, começa a perder tráfego), isso significa que você precisa dedicar mais recursos ao Lightweight Gateway.
Process(Microsoft.Tri.Gateway)\Bytes Privados A quantidade de memória comprometida (em bytes) que o processo do Lightweight Gateway está realmente consumindo. Sem limiar. Compare os resultados desse contador com o limite encontrado em GatewayUpdaterResourceManager Commit Memory Max Size. Se você vir que o processo atinge o limite máximo muitas vezes durante um período de tempo (o processo atinge o limite e, em seguida, começa a perder tráfego), isso significa que você precisa dedicar mais recursos ao Lightweight Gateway.
Processo(Microsoft.Tri.Gateway)\Conjunto de trabalho A quantidade de memória física (em bytes) que o processo do Lightweight Gateway está realmente consumindo. Sem limiar. Compare os resultados desse contador com o limite encontrado em GatewayUpdaterResourceManager Working set Limit Size. Se você vir que o processo atinge o limite máximo muitas vezes durante um período de tempo (o processo atinge o limite e, em seguida, começa a perder tráfego), isso significa que você precisa dedicar mais recursos ao Lightweight Gateway.

Contadores de desempenho do ATA Center

Você pode observar o status de desempenho em tempo real do Centro do ATA adicionando os contadores de desempenho do Centro do ATA.

Isso é feito abrindo o Monitor de Desempenho e adicionando todos os contadores para o Centro do ATA. O nome do objeto do contador de desempenho é: Microsoft ATA Center.

Aqui está a lista dos principais contadores do ATA Center aos quais prestar atenção:

Contador Descrição Threshold Resolução de problemas
Microsoft ATA Center\Tamanho do bloco de lote de entidade EntityReceiver O número de lotes de entidade enfileirados pelo Centro do ATA. Deve ser menor que o máximo-1 (máximo padrão: 10.000) Verifique se há algum componente que atingiu seu tamanho máximo e está bloqueando componentes anteriores até o NetworkListener. Consulte o processo de componente ATA anterior.

Verifique se não há nenhum problema com a CPU ou a memória.
Microsoft ATA Center\NetworkActivityTamanho do bloco de atividade de rede do processador O número de atividades de rede (NAs) enfileiradas para processamento. Deve ser menor que o máximo-1 (máximo padrão: 50.000) Verifique se há algum componente que atingiu seu tamanho máximo e está bloqueando componentes anteriores até o NetworkListener. Consulte o processo de componente ATA anterior.

Verifique se não há nenhum problema com a CPU ou a memória.
Tamanho do bloco de atividade de rede Microsoft ATA Center\EntityProfiler O número de atividades de rede (NAs) enfileiradas para criação de perfil. Deve ser menor que o máximo-1 (máximo padrão: 100.000) Verifique se há algum componente que atingiu seu tamanho máximo e está bloqueando componentes anteriores até o NetworkListener. Consulte o processo de componente ATA anterior.

Verifique se não há nenhum problema com a CPU ou a memória.
Microsoft ATA Center\Database * Tamanho do bloco O número de Atividades de Rede, de um tipo específico, enfileirado para ser gravado no banco de dados. Deve ser menor que o máximo-1 (máximo padrão: 50.000) Verifique se há algum componente que atingiu seu tamanho máximo e está bloqueando componentes anteriores até o NetworkListener. Consulte o processo de componente ATA anterior.

Verifique se não há nenhum problema com a CPU ou a memória.

Nota

  • Contadores cronometrados são em milissegundos
  • Às vezes, é mais conveniente monitorar a lista completa dos contadores usando o tipo de gráfico para Relatório (exemplo: monitoramento em tempo real de todos os contadores).

Contadores do sistema operacional

A tabela a seguir lista os principais contadores do sistema operacional aos quais prestar atenção:

Contador Descrição Threshold Resolução de problemas
Processor(_Total)% Tempo do processador A porcentagem de tempo decorrido que o processador gasta para executar um thread não ocioso. Menos de 80% em média Verifique se há um processo específico que está levando muito mais tempo do processador do que deveria.

Adicione mais processadores.

Reduza a quantidade de tráfego por servidor.

O contador "Processor(_Total)% Processor Time" pode ser menos preciso em servidores virtuais, caso em que a maneira mais precisa de medir a falta de energia do processador é através do contador "System\Processor Queue Length".
Sistema\Opções de contexto\s A taxa combinada na qual todos os processadores são alternados de um thread para outro. Menos de 5000*cores (núcleos físicos) Verifique se há um processo específico que está levando muito mais tempo do processador do que deveria.

Adicione mais processadores.

Reduza a quantidade de tráfego por servidor.

O contador "Processor(_Total)% Processor Time" pode ser menos preciso em servidores virtuais, caso em que a maneira mais precisa de medir a falta de energia do processador é através do contador "System\Processor Queue Length".
Comprimento da fila Sistema\Processador O número de threads que estão prontos para execução e estão esperando para serem agendados. Menos de cinco núcleos (núcleos físicos) Verifique se há um processo específico que está levando muito mais tempo do processador do que deveria.

Adicione mais processadores.

Reduza a quantidade de tráfego por servidor.

O contador "Processor(_Total)% Processor Time" pode ser menos preciso em servidores virtuais, caso em que a maneira mais precisa de medir a falta de energia do processador é através do contador "System\Processor Queue Length".
Memória\MBytes disponíveis A quantidade de memória física (RAM) disponível para alocação. Deve ser superior a 512 Verifique se há um processo específico que está tomando muito mais memória física do que deveria.

Aumente a quantidade de memória física.

Reduza a quantidade de tráfego por servidor.
LogicalDisk(*)\Média de disco seg\Read A latência média para ler dados do disco (você deve escolher a unidade de banco de dados como a instância). Deve ser inferior a 10 milissegundos Verifique se há um processo específico que está utilizando a unidade de banco de dados mais do que deveria.

Consulte sua equipe/fornecedor de armazenamento se essa unidade puder fornecer a carga de trabalho atual com menos de 10 ms de latência. A carga de trabalho atual pode ser determinada usando os contadores de utilização de disco.
LogicalDisk(*)\Média de disco seg\Write A latência média para gravar dados no disco (você deve escolher a unidade de banco de dados como a instância). Deve ser inferior a 10 milissegundos Verifique se há um processo específico que está utilizando a unidade de banco de dados mais do que deveria.

Consulte sua equipe de armazenamento\fornecedor se essa unidade puder fornecer a carga de trabalho atual com menos de 10 ms de latência. A carga de trabalho atual pode ser determinada usando os contadores de utilização de disco.
\LogicalDisk(*)\Leituras de disco\s A taxa de execução de operações de leitura para o disco. Sem limiar Os contadores de utilização de disco podem adicionar informações ao solucionar problemas de latência de armazenamento.
\LogicalDisk(*)\Bytes de leitura de disco\s O número de bytes por segundo que estão sendo lidos do disco. Sem limiar Os contadores de utilização de disco podem adicionar informações ao solucionar problemas de latência de armazenamento.
\LogicalDisk*\Gravações de disco\s A taxa de execução de operações de gravação no disco. Sem limiar Contadores de utilização de disco (podem adicionar informações ao solucionar problemas de latência de armazenamento)
\LogicalDisk(*)\Bytes de gravação de disco\s O número de bytes por segundo que estão sendo gravados no disco. Sem limiar Os contadores de utilização de disco podem adicionar informações ao solucionar problemas de latência de armazenamento.

Consulte Também