使用效能計數器對 ATA 進行疑難排解
適用于:進階威脅分析 1.9 版
ATA 效能計數器提供 ATA 每個元件執行效能的深入解析。 ATA 中的元件會循序處理資料,如此一來,當發生問題時,它可能會導致部分卸載的流量沿著元件的鏈結。 若要修正問題,您必須找出哪一個元件正在反擷取,並在鏈結開頭修正問題。 使用效能計數器中找到的資料,以瞭解每個元件的運作方式。 請參閱 ATA 架構 ,以瞭解內部 ATA 元件的流程。
ATA 元件程式 :
當元件達到其大小上限時,它會封鎖上一個元件傳送更多實體給它。
然後,最後前一個元件會開始增加 自己的 大小,直到它封鎖元件之前,再傳送更多實體。
這會一路傳回 NetworkListener 元件,當流量無法再轉送實體時,就會卸載流量。
擷取效能監視器檔案以進行疑難排解
若要從各種 ATA 元件擷取效能監視器檔案 (BLG):
- 開啟 perfmon。
- 停止名為: Microsoft ATA 閘道 或 Microsoft ATA 中心的 資料收集器集。
- 移至資料收集器集資料夾 (根據預設,這是 「C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets」 或 「C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets」 )。
- 複製最近修改過的 BLG 檔案。
- 重新開機名為: Microsoft ATA Gateway 或 Microsoft ATA Center 的資料收集器集。
ATA 閘道效能計數器
在本節中,ATA 閘道的每個參考也會參考 ATA 輕量型閘道。
您可以藉由新增 ATA 閘道的效能計數器,觀察 ATA 閘道的即時效能狀態。 這是藉由開啟 效能監視器 並新增 ATA 閘道的所有計數器來完成。 效能計數器物件的名稱為: Microsoft ATA 閘道 。
以下是要注意的主要 ATA 閘道計數器清單:
| 計數器 | 描述 | 閾值 | 疑難排解 |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF 剖析的訊息\秒 | ATA 閘道每秒處理的流量數量。 | 沒有臨界值 | 協助您瞭解 ATA 閘道正在剖析的流量量。 |
| NetworkListener PEF Dropd Events\Sec | ATA 閘道每秒要捨棄的流量量。 | 這個數位應該一直為零(罕見的短暴跌是可以接受的)。 | 檢查是否有任何元件達到其大小上限,並且一路封鎖先前的元件到 NetworkListener。 請參閱上述 ATA 元件程式 。 檢查 CPU 或記憶體沒有問題。 |
| Microsoft ATA Gateway\NetworkListener ETW Dropd Events\Sec | ATA 閘道每秒要捨棄的流量量。 | 這個數位應該一直為零(罕見的短暴跌是可以接受的)。 | 檢查是否有任何元件達到其大小上限,並且一路封鎖先前的元件到 NetworkListener。 請參閱上述 ATA 元件程式 。 檢查 CPU 或記憶體沒有問題。 |
| Microsoft ATA Gateway\NetworkActivity翻譯工具訊息資料 # 區塊大小 | 已排入佇列以轉譯為網路活動 (NAS) 的流量。 | 應小於最大值-1(預設最大值:100,000) | 檢查是否有任何元件達到其大小上限,並且一路封鎖先前的元件到 NetworkListener。 請參閱上述 ATA 元件程式 。 檢查 CPU 或記憶體沒有問題。 |
| Microsoft ATA Gateway\EntityResolver 活動區塊大小 | 排入佇列以解決問題的網路活動數目。 | 應小於最大值-1(預設最大值:10,000) | 檢查是否有任何元件達到其大小上限,並且一路封鎖先前的元件到 NetworkListener。 請參閱上述 ATA 元件程式 。 檢查 CPU 或記憶體沒有問題。 |
| Microsoft ATA 閘道\EntitySender 實體批次區塊大小 | 排入佇列以傳送至 ATA 中心的網路活動數量。 | 應小於最大值-1(預設最大值:1,000,000) | 檢查是否有任何元件達到其大小上限,並且一路封鎖先前的元件到 NetworkListener。 請參閱上述 ATA 元件程式 。 檢查 CPU 或記憶體沒有問題。 |
| Microsoft ATA Gateway\EntitySender 批次傳送時間 | 傳送最後一個批次所花費的時間量。 | 大部分時間應該小於 1000 毫秒 | 檢查 ATA 閘道與 ATA 中心之間是否有任何網路問題。 |
注意
- 計時計數器以毫秒為單位。
- 使用 報表 圖表類型來監視計數器的完整清單有時更方便(例如:所有計數器的即時監視)
ATA 輕量型閘道效能計數器
效能計數器可用於輕量型閘道中的配額管理,以確保 ATA 不會從安裝所在的網域控制站清空太多資源。 若要測量 ATA 在輕量型閘道上強制執行的資源限制,請新增這些計數器。
這是藉由開啟 效能監視器 並新增 ATA 輕量型閘道的所有計數器來完成。 效能計數器物件的名稱包括: Microsoft ATA 閘道 和 Microsoft ATA 閘道更新程式 。
| 計數器 | 描述 | 閾值 | 疑難排解 |
|---|---|---|---|
| Microsoft ATA 閘道更新程式\GatewayUpdaterResourceManager CPU 時間上限 % | 輕量型閘道進程可取用的最大 CPU 時間量(以百分比為單位)。 | 沒有臨界值。 | 這是保護網域控制站資源不受 ATA 輕量型閘道使用的限制。 如果您看到進程經常在一段時間內達到上限(進程達到限制,然後開始卸載流量),表示您需要將更多資源新增至執行網域控制站的伺服器。 |
| Microsoft ATA 閘道更新程式\GatewayUpdaterResourceManager 認可記憶體大小上限 | 輕量型閘道進程可取用的已認可記憶體數量上限(以位元組為單位)。 | 沒有臨界值。 | 這是保護網域控制站資源不受 ATA 輕量型閘道使用的限制。 如果您看到進程經常在一段時間內達到上限(進程達到限制,然後開始卸載流量),表示您需要將更多資源新增至執行網域控制站的伺服器。 |
| Microsoft ATA 閘道更新程式\GatewayUpdaterResourceManager 工作集限制大小 | 輕量型閘道進程可以取用的最大實體記憶體數量(以位元組為單位)。 | 沒有臨界值。 | 這是保護網域控制站資源不受 ATA 輕量型閘道使用的限制。 如果您看到進程經常在一段時間內達到上限(進程達到限制,然後開始卸載流量),表示您需要將更多資源新增至執行網域控制站的伺服器。 |
若要查看實際耗用量,請參閱下列計數器:
| 計數器 | 描述 | 閾值 | 疑難排解 |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Processor Time | 輕量型閘道進程實際耗用的 CPU 時間量(以百分比為單位)。 | 沒有臨界值。 | 比較此計數器的結果與 GatewayUpdaterResourceManager CPU Time Max %中找到的限制。 如果您看到進程經常在一段時間內達到上限(此程式達到限制,然後開始卸載流量),表示您需要將更多資源獻給輕量型閘道。 |
| Process(Microsoft.Tri.Gateway)\Private Bytes | 輕量型閘道進程實際耗用的認可記憶體數量(以位元組為單位)。 | 沒有臨界值。 | 比較此計數器的結果與 GatewayUpdaterResourceManager Commit Memory Max Size 中所找到的限制。 如果您看到進程經常在一段時間內達到上限(此程式達到限制,然後開始卸載流量),表示您需要將更多資源獻給輕量型閘道。 |
| Process(Microsoft.Tri.Gateway)\Working Set | 輕量型閘道進程實際耗用的實體記憶體數量(以位元組為單位)。 | 沒有臨界值。 | 比較此計數器的結果與 GatewayUpdaterResourceManager 工作集限制大小中找到的限制。 如果您看到進程經常在一段時間內達到上限(此程式達到限制,然後開始卸載流量),表示您需要將更多資源獻給輕量型閘道。 |
ATA 中心效能計數器
您可以藉由新增 ATA 中心的效能計數器來觀察 ATA 中心的即時效能狀態。
這是藉由開啟 效能監視器 並新增 ATA 中心的所有計數器來完成。 效能計數器物件的名稱為: Microsoft ATA 中心 。
以下是要注意的主要 ATA 中心計數器清單:
| 計數器 | 描述 | 閾值 | 疑難排解 |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver 實體批次區塊大小 | ATA 中心排入佇列的實體批次數目。 | 應小於最大值-1(預設最大值:10,000) | 檢查是否有任何元件達到其大小上限,並且一路封鎖先前的元件到 NetworkListener。 請參閱上述 ATA 元件程式 。 檢查 CPU 或記憶體沒有問題。 |
| Microsoft ATA Center\NetworkActivityProcessor 網路活動區塊大小 | 已排入佇列進行處理的網路活動數目。 | 應小於最大值-1(預設最大值:50,000) | 檢查是否有任何元件達到其大小上限,並且一路封鎖先前的元件到 NetworkListener。 請參閱上述 ATA 元件程式 。 檢查 CPU 或記憶體沒有問題。 |
| Microsoft ATA Center\EntityProfiler 網路活動區塊大小 | 已排入分析佇列的網路活動數目。 | 應小於最大值-1(預設最大值:100,000) | 檢查是否有任何元件達到其大小上限,並且一路封鎖先前的元件到 NetworkListener。 請參閱上述 ATA 元件程式 。 檢查 CPU 或記憶體沒有問題。 |
| Microsoft ATA Center\Database * 區塊大小 | 特定類型的網路活動數目,排入佇列以寫入資料庫。 | 應小於最大值-1(預設最大值:50,000) | 檢查是否有任何元件達到其大小上限,並且一路封鎖先前的元件到 NetworkListener。 請參閱上述 ATA 元件程式 。 檢查 CPU 或記憶體沒有問題。 |
注意
- 計時計數器以毫秒為單位
- 使用報表圖表類型監視計數器的完整清單有時更方便(例如:所有計數器的即時監視)。
作業系統計數器
下表列出要注意的主要作業系統計數器:
| 計數器 | 描述 | 閾值 | 疑難排解 |
|---|---|---|---|
| Processor(_Total)% Processor Time | 處理器花費執行非閒置執行緒所耗用時間的百分比。 | 平均小於 80% | 檢查是否有特定進程花費比應該多得多的處理器時間。 新增更多處理器。 減少每部伺服器的流量量。 虛擬伺服器上的「Processor(_Total)%Processor Time」 計數器可能較不精確,在這種情況下,測量處理器電源不足的更精確方式是透過「系統\處理器佇列長度」計數器。 |
| System\CoNtext Switches\sec | 所有處理器從一個執行緒切換到另一個執行緒的合併速率。 | 小於 5000*核心 (實體核心) | 檢查是否有特定進程花費比應該多得多的處理器時間。 新增更多處理器。 減少每部伺服器的流量量。 虛擬伺服器上的「Processor(_Total)%Processor Time」 計數器可能較不精確,在這種情況下,測量處理器電源不足的更精確方式是透過「系統\處理器佇列長度」計數器。 |
| System\Processor Queue Length | 準備執行並等候排程的執行緒數目。 | 小於五個*核心(實體核心) | 檢查是否有特定進程花費比應該多得多的處理器時間。 新增更多處理器。 減少每部伺服器的流量量。 虛擬伺服器上的「Processor(_Total)%Processor Time」 計數器可能較不精確,在這種情況下,測量處理器電源不足的更精確方式是透過「系統\處理器佇列長度」計數器。 |
| Memory\Available MBytes | 可用於配置的實體記憶體數量。 | 應超過 512 | 檢查是否有特定進程佔用比它應該多得多的實體記憶體。 增加實體記憶體的數量。 減少每部伺服器的流量量。 |
| LogicalDisk\\Avg. Disk sec\Read | 從磁片讀取資料的平均延遲(您應該選擇資料庫磁片磁碟機作為實例)。 | 應小於 10 毫秒 | 檢查是否有使用資料庫磁片磁碟機的特定程式比它應該多。 如果此磁片磁碟機可以傳遞目前的工作負載,但延遲少於 10 毫秒,請洽詢您的儲存體小組/廠商。 目前的工作負載可以使用磁片使用率計數器來判斷。 |
| LogicalDisk\\Avg. Disk sec\Write | 將資料寫入磁片的平均延遲(您應該選擇資料庫磁片磁碟機作為實例)。 | 應小於 10 毫秒 | 檢查是否有使用資料庫磁片磁碟機的特定程式比它應該多。 如果此磁片磁碟機可以傳遞目前的工作負載,但延遲少於 10 毫秒,請洽詢您的儲存體小組\廠商。 目前的工作負載可以使用磁片使用率計數器來判斷。 |
| \LogicalDisk\\Disk Reads\sec | 對磁片執行讀取作業的速率。 | 沒有臨界值 | 針對儲存體延遲進行疑難排解時,磁片使用率計數器可以新增深入解析。 |
| \LogicalDisk\\Disk Read Bytes\sec | 每秒從磁片讀取的位元組數目。 | 沒有臨界值 | 針對儲存體延遲進行疑難排解時,磁片使用率計數器可以新增深入解析。 |
| \LogicalDisk*\Disk Writes\sec | 對磁片執行寫入作業的速率。 | 沒有臨界值 | 磁片使用率計數器 (可在針對儲存體延遲進行疑難排解時新增深入解析) |
| \LogicalDisk\\Disk Write Bytes\sec | 寫入磁片的每秒位元組數。 | 沒有臨界值 | 針對儲存體延遲進行疑難排解時,磁片使用率計數器可以新增深入解析。 |