Устранение неполадок ATA с помощью счетчиков производительности
Область применения: Advanced Threat Analytics версии 1.9
Счетчики производительности ATA предоставляют представление о том, насколько хорошо выполняется каждый компонент ATA. Компоненты в ATA обрабатывают данные последовательно, так что при возникновении проблемы может привести к частичному удалению трафика в цепочке компонентов. Чтобы устранить проблему, необходимо выяснить, какой компонент является обратным и устранить проблему в начале цепочки. Используйте данные, найденные в счетчиках производительности, чтобы понять, как работает каждый компонент. Ознакомьтесь с архитектурой ATA, чтобы понять поток внутренних компонентов ATA.
Процесс компонента ATA:
Когда компонент достигает максимального размера, он блокирует предыдущий компонент от отправки в него дополнительных сущностей.
Затем, в конечном итоге предыдущий компонент начнет увеличивать свой собственный размер, пока он не блокирует компонент перед ним, от отправки дополнительных сущностей.
Это происходит вплоть до компонента NetworkListener, который будет удалять трафик, когда он больше не может перенаправлять сущности.
Получение файлов монитора производительности для устранения неполадок
Чтобы получить файлы монитора производительности (BLG) из различных компонентов ATA:
- Откройте перфмон.
- Остановите набор сборщиков данных с именем: Шлюз Microsoft ATA или Центр Microsoft ATA.
- Перейдите в папку набора сборщиков данных (по умолчанию это "C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" или "C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Скопируйте файл BLG, который был недавно изменен.
- Перезапустите набор сборщиков данных с именем: Шлюз Microsoft ATA или Центр Microsoft ATA.
Счетчики производительности шлюза ATA
В этом разделе каждая ссылка на шлюз ATA также ссылается на упрощенный шлюз ATA.
Вы можете наблюдать за состоянием производительности шлюза ATA в режиме реального времени, добавив счетчики производительности шлюза ATA. Это делается путем открытия Монитор производительности и добавления всех счетчиков для шлюза ATA. Имя объекта счетчика производительности: Шлюз Microsoft ATA.
Ниже приведен список основных счетчиков шлюза ATA, которые следует обратить на:
| Счетчик | Description | Threshold | Устранение неполадок |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF Parsed Messages\Sec | Объем трафика, обрабатываемого шлюзом ATA каждую секунду. | Нет порогового значения | Помогает понять объем трафика, который анализируется шлюзом ATA. |
| Удаленные события PEF NetworkListener\Sec | Объем трафика, который удаляется шлюзом ATA каждые секунды. | Это число должно быть равно нулю все время (редкие короткие всплески падения допустимы). | Проверьте, достигнут ли какой-либо компонент, который достиг максимального размера и блокирует предыдущие компоненты вплоть до NetworkListener. См. приведенный выше процесс компонента ATA. Убедитесь, что нет проблем с ЦП или памятью. |
| Microsoft ATA Gateway\NetworkListener ETW удалены события\Sec | Объем трафика, который удаляется шлюзом ATA каждые секунды. | Это число должно быть равно нулю все время (редкие короткие всплески падения допустимы). | Проверьте, достигнут ли какой-либо компонент, который достиг максимального размера и блокирует предыдущие компоненты вплоть до NetworkListener. См. приведенный выше процесс компонента ATA. Убедитесь, что нет проблем с ЦП или памятью. |
| Microsoft ATA Gateway\NetworkActivity Переводчик Размер блока сообщений | Объем трафика, в очереди для перевода в сетевые действия (NAs). | Должно быть меньше максимального значения 1 (максимальное значение по умолчанию: 100 000) | Проверьте, достигнут ли какой-либо компонент, который достиг максимального размера и блокирует предыдущие компоненты вплоть до NetworkListener. См. приведенный выше процесс компонента ATA. Убедитесь, что нет проблем с ЦП или памятью. |
| Размер блока действий Microsoft ATA Gateway\EntityResolver | Количество сетевых действий (NAs) в очереди для разрешения. | Должно быть меньше максимального значения 1 (максимальное значение по умолчанию: 10 000) | Проверьте, достигнут ли какой-либо компонент, который достиг максимального размера и блокирует предыдущие компоненты вплоть до NetworkListener. См. приведенный выше процесс компонента ATA. Убедитесь, что нет проблем с ЦП или памятью. |
| Microsoft ATA Gateway\EntitySender Entity Batch Block Size | Объем очередей сетевых действий (NAS), отправляемых в Центр ATA. | Должно быть меньше максимального значения 1 (максимальное значение по умолчанию: 1000 000) | Проверьте, достигнут ли какой-либо компонент, который достиг максимального размера и блокирует предыдущие компоненты вплоть до NetworkListener. См. приведенный выше процесс компонента ATA. Убедитесь, что нет проблем с ЦП или памятью. |
| Время отправки пакетной службы Microsoft ATA Gateway\EntitySender | Время отправки последнего пакета. | Должно быть меньше 1000 миллисекундах большую часть времени | Проверьте наличие проблем с сетью между шлюзом ATA и Центром ATA. |
Примечание.
- Счетчики времени находятся в миллисекундах.
- Иногда удобнее отслеживать полный список счетчиков с помощью типа графа отчета (например, мониторинг всех счетчиков в режиме реального времени).
Счетчики производительности упрощенного шлюза ATA
Счетчики производительности можно использовать для управления квотами в упрощенном шлюзе, чтобы убедиться, что ATA не стекает слишком много ресурсов из контроллеров домена, на которых он установлен. Чтобы измерить ограничения ресурсов, которые ATA применяет в упрощенном шлюзе, добавьте эти счетчики.
Это делается путем открытия Монитор производительности и добавления всех счетчиков для упрощенного шлюза ATA. Имена объектов счетчика производительности: Шлюз Microsoft ATA и Microsoft ATA Gateway Updater.
| Счетчик | Description | Threshold | Устранение неполадок |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Cpu Time Max % | Максимальное количество времени ЦП (в процентах), которое может использовать процесс упрощенного шлюза. | Нет порогового значения. | Это ограничение, которое защищает ресурсы контроллера домена от использования упрощенным шлюзом ATA. Если вы видите, что процесс достигает максимального предела часто в течение определенного периода времени (процесс достигает предела, а затем начинает удалять трафик), это означает, что необходимо добавить дополнительные ресурсы на сервер, на котором запущен контроллер домена.. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Commit Memory Max Size | Максимальный объем зафиксированной памяти (в байтах), которую может использовать процесс упрощенного шлюза. | Нет порогового значения. | Это ограничение, которое защищает ресурсы контроллера домена от использования упрощенным шлюзом ATA. Если вы видите, что процесс достигает максимального предела часто в течение определенного периода времени (процесс достигает предела, а затем начинает удалять трафик), это означает, что необходимо добавить дополнительные ресурсы на сервер, на котором запущен контроллер домена. |
| Размер ограничения рабочего набора microsoft ATA Gateway Updater\GatewayUpdaterResourceManager | Максимальный объем физической памяти (в байтах), который может использовать процесс упрощенного шлюза. | Нет порогового значения. | Это ограничение, которое защищает ресурсы контроллера домена от использования упрощенным шлюзом ATA. Если вы видите, что процесс достигает максимального предела часто в течение определенного периода времени (процесс достигает предела, а затем начинает удалять трафик), это означает, что необходимо добавить дополнительные ресурсы на сервер, на котором запущен контроллер домена. |
Чтобы просмотреть фактическое потребление, обратитесь к следующим счетчикам:
| Счетчик | Description | Threshold | Устранение неполадок |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Processor Time | Количество времени ЦП (в процентах), которое фактически потребляет процесс упрощенного шлюза. | Нет порогового значения. | Сравните результаты этого счетчика с ограничением, найденным в gatewayUpdaterResourceManager Cpu Time Max %. Если вы видите, что процесс достигает максимального предела часто в течение определенного периода времени (процесс достигает предела, а затем начинает удалять трафик), это означает, что необходимо выделить больше ресурсов в упрощенный шлюз. |
| Process(Microsoft.Tri.Gateway)\Private Bytes | Объем зафиксированной памяти (в байтах), который фактически потребляет процесс упрощенного шлюза. | Нет порогового значения. | Сравните результаты этого счетчика с ограничением, найденным в gatewayUpdaterResourceManager Commit Memory Max Size. Если вы видите, что процесс достигает максимального предела часто в течение определенного периода времени (процесс достигает предела, а затем начинает удалять трафик), это означает, что необходимо выделить больше ресурсов в упрощенный шлюз. |
| Process(Microsoft.Tri.Gateway)\Рабочий набор | Объем физической памяти (в байтах), который фактически потребляет процесс упрощенного шлюза. | Нет порогового значения. | Сравните результаты этого счетчика с ограничением, найденным в параметре GatewayUpdaterResourceManager Working Set Limit Size. Если вы видите, что процесс достигает максимального предела часто в течение определенного периода времени (процесс достигает предела, а затем начинает удалять трафик), это означает, что необходимо выделить больше ресурсов в упрощенный шлюз. |
Счетчики производительности Центра ATA
Вы можете наблюдать за состоянием производительности центра ATA в режиме реального времени, добавив счетчики производительности Центра ATA.
Это делается путем открытия Монитор производительности и добавления всех счетчиков для центра ATA. Имя объекта счетчика производительности: Центр Microsoft ATA.
Ниже приведен список основных счетчиков центра ATA, которые следует обратить внимание на следующие компоненты:
| Счетчик | Description | Threshold | Устранение неполадок |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | Количество пакетов сущностей, в очереди центра ATA. | Должно быть меньше максимального значения 1 (максимальное значение по умолчанию: 10 000) | Проверьте, достигнут ли какой-либо компонент, который достиг максимального размера и блокирует предыдущие компоненты вплоть до NetworkListener. См. предыдущий процесс компонента ATA. Убедитесь, что нет проблем с ЦП или памятью. |
| Размер блока сетевых действий Microsoft ATA Center\NetworkActivityProcessor | Количество сетевых действий (NAs) в очереди для обработки. | Должно быть меньше максимального значения 1 (максимальное значение по умолчанию: 50 000) | Проверьте, достигнут ли какой-либо компонент, который достиг максимального размера и блокирует предыдущие компоненты вплоть до NetworkListener. См. предыдущий процесс компонента ATA. Убедитесь, что нет проблем с ЦП или памятью. |
| Размер блока сетевых действий Microsoft ATA Center\EntityProfiler | Количество сетевых действий (NAs) в очереди для профилирования. | Должно быть меньше максимального значения 1 (максимальное значение по умолчанию: 100 000) | Проверьте, достигнут ли какой-либо компонент, который достиг максимального размера и блокирует предыдущие компоненты вплоть до NetworkListener. См. предыдущий процесс компонента ATA. Убедитесь, что нет проблем с ЦП или памятью. |
| Microsoft ATA Center\Database * Размер блока | Количество сетевых действий определенного типа, в очереди для записи в базу данных. | Должно быть меньше максимального значения 1 (максимальное значение по умолчанию: 50 000) | Проверьте, достигнут ли какой-либо компонент, который достиг максимального размера и блокирует предыдущие компоненты вплоть до NetworkListener. См. предыдущий процесс компонента ATA. Убедитесь, что нет проблем с ЦП или памятью. |
Примечание.
- Счетчики времени находятся в миллисекундах
- Иногда удобнее отслеживать полный список счетчиков с помощью типа графа для отчета (например, мониторинг всех счетчиков в режиме реального времени).
Счетчики операционной системы
В следующей таблице перечислены основные счетчики операционной системы, которые следует обратить на следующее:
| Счетчик | Description | Threshold | Устранение неполадок |
|---|---|---|---|
| Процессор(_общий объем ресурсов)% загруженности процессора | Процент истекшего времени, затраченного процессором на выполнение потока бездействия. | Менее 80 % в среднем | Проверьте, существует ли определенный процесс, который занимает гораздо больше времени процессора, чем он должен. Добавьте дополнительные процессоры. Уменьшите объем трафика на сервер. Счетчик "Процессор(_Total)% времени процессора" может быть менее точным на виртуальных серверах, в этом случае более точным способом измерения нехватки мощности процессора является счетчик "Длина очереди процессора" System\Processor Queue Length. |
| System\Context Switches\sec | Совокупная скорость, с которой все процессоры переключаются с одного потока на другой. | Менее 5000*ядер (физические ядра) | Проверьте, существует ли определенный процесс, который занимает гораздо больше времени процессора, чем он должен. Добавьте дополнительные процессоры. Уменьшите объем трафика на сервер. Счетчик "Процессор(_Total)% времени процессора" может быть менее точным на виртуальных серверах, в этом случае более точным способом измерения нехватки мощности процессора является счетчик "Длина очереди процессора" System\Processor Queue Length. |
| Система\Длина очереди процессора | Количество потоков, готовых к выполнению и ожидающих планирования. | Менее пяти ядер (физических ядер) | Проверьте, существует ли определенный процесс, который занимает гораздо больше времени процессора, чем он должен. Добавьте дополнительные процессоры. Уменьшите объем трафика на сервер. Счетчик "Процессор(_Total)% времени процессора" может быть менее точным на виртуальных серверах, в этом случае более точным способом измерения нехватки мощности процессора является счетчик "Длина очереди процессора" System\Processor Queue Length. |
| Memory\Available МБ ytes | Объем физической памяти (ОЗУ), доступный для выделения. | Должно быть больше 512 | Проверьте, существует ли определенный процесс, который занимает гораздо больше физической памяти, чем он должен. Увеличьте объем физической памяти. Уменьшите объем трафика на сервер. |
| LogicalDisk(*)\Avg. Диск с\Чтение | Средняя задержка для чтения данных с диска (следует выбрать диск базы данных в качестве экземпляра). | Должно быть меньше 10 миллисекунда | Проверьте, существует ли определенный процесс, который использует диск базы данных больше, чем он должен. Обратитесь к группе хранилища или поставщику, если этот диск может доставлять текущую рабочую нагрузку, имея менее 10 мс задержки. Текущая рабочая нагрузка может быть определена с помощью счетчиков использования диска. |
| LogicalDisk(*)\Avg. Диск с\Запись | Средняя задержка записи данных на диск (следует выбрать диск базы данных в качестве экземпляра). | Должно быть меньше 10 миллисекунда | Проверьте, существует ли определенный процесс, который использует диск базы данных больше, чем он должен. Обратитесь к группе хранилища\поставщику, если этот диск может доставлять текущую рабочую нагрузку, имея менее 10 мс задержки. Текущая рабочая нагрузка может быть определена с помощью счетчиков использования диска. |
| \LogicalDisk(*)\Disk Reads\sec | Скорость выполнения операций чтения на диск. | Нет порогового значения | Счетчики использования дисков могут добавлять аналитические сведения при устранении неполадок с задержкой хранилища. |
| \LogicalDisk(*)\Disk Read Bytes\sec | Количество байтов в секунду, считываемых с диска. | Нет порогового значения | Счетчики использования дисков могут добавлять аналитические сведения при устранении неполадок с задержкой хранилища. |
| \LogicalDisk*\Disk Writes\sec | Скорость выполнения операций записи на диск. | Нет порогового значения | Счетчики использования дисков (могут добавлять аналитические сведения при устранении неполадок с задержкой хранилища) |
| \LogicalDisk(*)\Disk Write Bytes\sec | Количество байтов в секунду, записываемых на диск. | Нет порогового значения | Счетчики использования дисков могут добавлять аналитические сведения при устранении неполадок с задержкой хранилища. |