Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
S’applique à : Advanced Threat Analytics version 1.9
Les compteurs de performances ATA fournissent des informations sur le fonctionnement de chaque composant d’ATA. Les composants d’ATA traitent les données de manière séquentielle, de sorte qu’en cas de problème, cela peut entraîner un trafic supprimé partiel quelque part le long de la chaîne de composants. Pour résoudre le problème, vous devez déterminer quel composant provoque un retour de flamme et corriger le problème dès le début de la chaîne. Utilisez les données trouvées dans les compteurs de performances pour comprendre le fonctionnement de chaque composant. Reportez-vous à l’architecture ATA pour comprendre le flux des composants ATA internes.
Processus de composant ATA :
Lorsqu’un composant atteint sa taille maximale, il empêche le composant précédent d’envoyer d’autres entités à celui-ci.
Finalement, le composant précédent commence à augmenter sa propre taille jusqu’à bloquer le composant qui le précède, empêchant l’envoi de plus d’entités.
Cela se produit tout le chemin vers le composant NetworkListener, qui supprime le trafic lorsqu’il ne peut plus transférer d’entités.
Récupération des fichiers de l’analyseur de performances pour la résolution des problèmes
Pour récupérer les fichiers de l’analyseur de performances (BLG) à partir des différents composants ATA :
- Ouvrez perfmon.
- Arrêtez le jeu de collecteurs de données nommé : Microsoft ATA Gateway ou Microsoft ATA Center.
- Accédez au dossier du jeu de collecteurs de données (par défaut, il s’agit de « C :\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets » ou « C :\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets »).
- Copiez le fichier BLG récemment modifié.
- Redémarrez le jeu de collecte de données nommé : Microsoft ATA Gateway ou Microsoft ATA Center.
Compteurs de performances de la passerelle ATA
Dans cette section, chaque référence à la passerelle ATA fait également référence à la passerelle légère ATA.
Vous pouvez observer l’état des performances en temps réel de la passerelle ATA en ajoutant les compteurs de performances de la passerelle ATA. Pour ce faire, ouvrez Analyseur de performances et ajoutez tous les compteurs pour la passerelle ATA. Le nom de l’objet compteur de performances est : Microsoft passerelle ATA.
Voici la liste des principaux compteurs de passerelle ATA à prendre en compte :
| Compteur | Description | Seuil | Dépannage |
|---|---|---|---|
| Microsoft passerelle ATA\Écouteur Réseau PEF Parsed Messages\Sec | Quantité de trafic en cours de traitement par la passerelle ATA toutes les secondes. | Aucun seuil | Vous aide à comprendre la quantité de trafic analysée par la passerelle ATA. |
| Événements ignorés par NetworkListener/Sec | Quantité de trafic supprimée par la passerelle ATA toutes les secondes. | Ce nombre doit être égal à zéro tout le temps (rares rafales courtes de gouttes sont acceptables). | Vérifiez s’il existe un composant qui a atteint sa taille maximale et bloque les composants précédents jusqu’à NetworkListener. Reportez-vous au processus de composant ATA ci-dessus. Vérifiez qu’il n’y a aucun problème avec le processeur ou la mémoire. |
| Microsoft ATA Gateway\Écouteur réseau ETW Événements rejetés\Sec | Quantité de trafic supprimée par la passerelle ATA toutes les secondes. | Ce nombre doit être égal à zéro tout le temps (rares rafales courtes de gouttes sont acceptables). | Vérifiez s’il existe un composant qui a atteint sa taille maximale et bloque les composants précédents jusqu’à NetworkListener. Reportez-vous au processus de composant ATA ci-dessus. Vérifiez qu’il n’y a aucun problème avec le processeur ou la mémoire. |
| Microsoft ATA Gateway\NetworkActivityTranslator Message Data # Taille de bloc | Quantité de trafic mis en file d’attente pour la traduction vers les Activités Réseau (NA). | Doit être inférieur au maximum à 1 (maximum par défaut : 100 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et bloque les composants précédents jusqu’à NetworkListener. Reportez-vous au processus de composant ATA ci-dessus. Vérifiez qu’il n’y a aucun problème avec le processeur ou la mémoire. |
| Microsoft passerelle ATA\Taille de bloc d’activité EntityResolver | Nombre d’activités réseau mises en file d’attente pour la résolution. | Doit être inférieur au maximum à 1 (maximum par défaut : 10 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et bloque les composants précédents jusqu’à NetworkListener. Reportez-vous au processus de composant ATA ci-dessus. Vérifiez qu’il n’y a aucun problème avec le processeur ou la mémoire. |
| Microsoft passerelle ATA\Taille du bloc de lots d'entités EntitySender | Quantité d’activités réseau (AN) en attente d’envoi au centre ATA. | Doit être inférieur au maximum à 1 (maximum par défaut : 1 000 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et bloque les composants précédents jusqu’à NetworkListener. Reportez-vous au processus de composant ATA ci-dessus. Vérifiez qu’il n’y a aucun problème avec le processeur ou la mémoire. |
| Microsoft passerelle ATA\EntitySender Batch Send Time | Temps nécessaire pour envoyer le dernier lot. | Doit être inférieur à 1 000 millisecondes la plupart du temps | Vérifiez s’il existe des problèmes réseau entre la passerelle ATA et le centre ATA. |
Note
- Les compteurs chronométrés sont en millisecondes.
- Il est parfois plus pratique de surveiller la liste complète des compteurs à l’aide du type de graphique Rapport (exemple : surveillance en temps réel de tous les compteurs)
Compteurs de performance de la passerelle légère ATA
Les compteurs de performances peuvent être utilisés pour la gestion des quotas dans la passerelle légère, pour vous assurer qu’ATA ne draine pas trop de ressources à partir des contrôleurs de domaine sur lesquels il est installé. Pour mesurer les limitations des ressources appliquées par ATA sur la passerelle légère, ajoutez ces compteurs.
Pour ce faire, ouvrez Analyseur de performances et ajoutez tous les compteurs pour la passerelle légère ATA. Les noms des objets du compteur de performances sont les suivants : Microsoft passerelle ATA et Microsoft mise à jour de passerelle ATA.
| Compteur | Description | Seuil | Dépannage |
|---|---|---|---|
| Microsoft atA Gateway Updater\GatewayUpdaterResourceManager CPU Time Max % | Durée maximale du processeur (en pourcentage) que le processus de passerelle légère peut consommer. | Aucun seuil. | Cette limitation protège les ressources du contrôleur de domaine d'être exploitées par la passerelle légère ATA. Si vous voyez que le processus atteint la limite maximale souvent sur une période de temps (le processus atteint la limite, puis commence à supprimer le trafic), cela signifie que vous devez ajouter plus de ressources au serveur exécutant le contrôleur de domaine. |
| Microsoft ATA Gateway Updater\Taille maximale de la mémoire de validation du gestionnaire de ressources GatewayUpdater | Quantité maximale de mémoire validée (en octets) que le processus de passerelle légère peut consommer. | Aucun seuil. | Il s’agit de la limitation qui protège les ressources du contrôleur de domaine contre l’utilisation de la passerelle légère ATA. Si vous voyez que le processus atteint la limite maximale souvent sur une période de temps (le processus atteint la limite, puis commence à supprimer le trafic), cela signifie que vous devez ajouter davantage de ressources au serveur exécutant le contrôleur de domaine. |
| Microsoft Mise à Jour de Passerelle ATA\Gestionnaire de Ressources GatewayUpdater Limite de Taille du Jeu de Travail | Quantité maximale de mémoire physique (en octets) que le processus de passerelle légère peut consommer. | Aucun seuil. | Cette limitation protège les ressources du contrôleur de domaine contre l'épuisement par l'ATA Lightweight Gateway. Si vous voyez que le processus atteint la limite maximale souvent sur une période de temps (le processus atteint la limite, puis commence à supprimer le trafic), cela signifie que vous devez ajouter davantage de ressources au serveur exécutant le contrôleur de domaine. |
Pour voir votre consommation réelle, reportez-vous aux compteurs suivants :
| Compteur | Description | Seuil | Dépannage |
|---|---|---|---|
| Processus(Microsoft.Tri.Gateway)%Temps processeur | Quantité de temps CPU (en pourcentage) que le processus de la Passerelle Légère consomme réellement. | Aucun seuil. | Comparez les résultats de ce compteur à la limite trouvée dans GatewayUpdaterResourceManager CPU Time Max %. Si vous constatez que le processus atteint la limite maximale souvent sur une période de temps (le processus atteint la limite, puis commence à supprimer le trafic), cela signifie que vous devez dédier davantage de ressources à la passerelle légère. |
| Process(Microsoft. Tri.Gateway)\Octets privés | Quantité de mémoire validée (en octets) que le processus de passerelle légère consomme réellement. | Aucun seuil. | Comparez les résultats de ce compteur à la limite trouvée dans GatewayUpdaterResourceManager Commit Memory Max Size. Si vous constatez que le processus atteint la limite maximale souvent sur une période de temps (le processus atteint la limite, puis commence à supprimer le trafic), cela signifie que vous devez dédier davantage de ressources à la passerelle légère. |
| Process(Microsoft.Tri.Gateway)\Working Set | Quantité de mémoire physique (en octets) que le processus de passerelle légère consomme réellement. | Aucun seuil. | Comparez les résultats de ce compteur à la limite trouvée dans GatewayUpdaterResourceManager Working Set Limit Size. Si vous constatez que le processus atteint la limite maximale souvent sur une période de temps (le processus atteint la limite, puis commence à supprimer le trafic), cela signifie que vous devez dédier davantage de ressources à la passerelle légère. |
Compteurs de performances du Centre ATA
Vous pouvez observer l’état des performances en temps réel du centre ATA en ajoutant les compteurs de performances du centre ATA.
Pour ce faire, ouvrez Analyseur de performances et ajoutez tous les compteurs pour le centre ATA. Le nom de l’objet compteur de performances est : Microsoft Centre ATA.
Voici la liste des principaux compteurs du centre ATA pour prêter attention aux éléments suivants :
| Compteur | Description | Seuil | Dépannage |
|---|---|---|---|
| Microsoft Centre ATA\RécepteurEntité Taille du Bloc de Lot d'Entités | Nombre de lots d’entités mis en file d’attente par le centre ATA. | Doit être inférieur au maximum à 1 (maximum par défaut : 10 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et bloque les composants précédents jusqu’à NetworkListener. Reportez-vous au processus de composant ATA précédent. Vérifiez qu’il n’y a aucun problème avec le processeur ou la mémoire. |
| taille du bloc d’activité réseau Microsoft ATA Center\NetworkActivityProcessor | Nombre d’activités réseau mises en file d’attente pour traitement. | Doit être inférieur au maximum à 1 (maximum par défaut : 50 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et bloque les composants précédents jusqu’à NetworkListener. Reportez-vous au processus de composant ATA précédent. Vérifiez qu’il n’y a aucun problème avec le processeur ou la mémoire. |
| Centre Microsoft ATA\Taille du bloc d'activité réseau d'EntityProfiler | Nombre d’activités réseau mises en file d’attente pour le profilage. | Doit être inférieur au maximum à 1 (maximum par défaut : 100 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et bloque les composants précédents jusqu’à NetworkListener. Reportez-vous au processus de composant ATA précédent. Vérifiez qu’il n’y a aucun problème avec le processeur ou la mémoire. |
| Microsoft Centre ATA\Base de données * Taille de bloc | Nombre d’activités réseau, d’un type spécifique, mises en file d’attente devant être écrites dans la base de données. | Doit être inférieur au maximum à 1 (maximum par défaut : 50 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et bloque les composants précédents jusqu’à NetworkListener. Reportez-vous au processus de composant ATA précédent. Vérifiez qu’il n’y a aucun problème avec le processeur ou la mémoire. |
Note
- Les compteurs chronométrés sont en millisecondes
- Il est parfois plus pratique de surveiller la liste complète des compteurs à l’aide du type de graphique pour le rapport (par exemple : surveillance en temps réel de tous les compteurs).
Compteurs du système d’exploitation
Le tableau suivant répertorie les principaux compteurs du système d’exploitation pour prêter attention aux éléments suivants :
| Compteur | Description | Seuil | Dépannage |
|---|---|---|---|
| Processeur(_Total)% de temps de processeur | Pourcentage de temps écoulé passé par le processeur pour exécuter un thread non inactif. | Moins de 80% en moyenne | Vérifiez s’il existe un processus spécifique qui prend beaucoup plus de temps processeur que cela ne le devrait. Ajoutez d’autres processeurs. Réduisez la quantité de trafic par serveur. Le compteur « Processeur (_Total)% temps processeur » peut être moins précis sur les serveurs virtuels, auquel cas le moyen le plus précis de mesurer l’absence de puissance du processeur est via le compteur « System\Processor Queue Length ». |
| System\Commutations de contexte\s | Taux combiné auquel tous les processeurs sont basculés d’un thread à un autre. | Moins de 5 000*cœurs (cœurs physiques) | Vérifiez s’il existe un processus spécifique qui prend beaucoup plus de temps processeur que cela ne le devrait. Ajoutez d’autres processeurs. Réduisez la quantité de trafic par serveur. Le compteur « Processeur (_Total)% temps processeur » peut être moins précis sur les serveurs virtuels, auquel cas le moyen le plus précis de mesurer l’absence de puissance du processeur est via le compteur « System\Processor Queue Length ». |
| Longueur de la file d’attente du système\processeur | Nombre de threads prêts à s’exécuter et qui attendent d’être planifiés. | Moins de cinq cœurs (cœurs physiques) | Vérifiez s’il existe un processus spécifique qui prend beaucoup plus de temps processeur que cela ne le devrait. Ajoutez d’autres processeurs. Réduisez la quantité de trafic par serveur. Le compteur « Processeur (_Total)% temps processeur » peut être moins précis sur les serveurs virtuels, auquel cas le moyen le plus précis de mesurer l’absence de puissance du processeur est via le compteur « System\Processor Queue Length ». |
| Mémoire\Mo disponibles | Quantité de mémoire physique (RAM) disponible pour l’allocation. | Doit être supérieur à 512 | Vérifiez s’il existe un processus spécifique qui prend beaucoup plus de mémoire physique que cela ne le devrait. Augmentez la quantité de mémoire physique. Réduisez la quantité de trafic par serveur. |
| LogicalDisk(*)\Avg. Disk sec\Read | Latence moyenne pour la lecture des données à partir du disque (vous devez choisir le lecteur de base de données comme instance). | Doit être inférieur à 10 millisecondes | Vérifiez s’il existe un processus spécifique qui utilise le lecteur de base de données plus qu’il ne le doit. Consultez votre équipe/fournisseur de stockage si ce lecteur peut fournir la charge de travail actuelle tout en ayant moins de 10 ms de latence. La charge de travail actuelle peut être déterminée à l’aide des compteurs d’utilisation du disque. |
| LogicalDisk(*)\Avg. Disk sec\Write | Latence moyenne pour l’écriture de données sur le disque (vous devez choisir le lecteur de base de données comme instance). | Doit être inférieur à 10 millisecondes | Vérifiez s’il existe un processus spécifique qui utilise le lecteur de base de données plus qu’il ne le doit. Consultez votre équipe de stockage\fournisseur si ce lecteur peut fournir la charge de travail actuelle tout en ayant moins de 10 ms de latence. La charge de travail actuelle peut être déterminée à l’aide des compteurs d’utilisation du disque. |
| \LogicalDisk(*)\Disk Reads\sec | Taux d’exécution d’opérations de lecture sur le disque. | Aucun seuil | Les compteurs d’utilisation de disque peuvent ajouter des insights lors de la résolution des problèmes de latence de stockage. |
| \LogicalDisk(*)\Disk Read Bytes\sec | Nombre d’octets par seconde en cours de lecture à partir du disque. | Aucun seuil | Les compteurs d’utilisation de disque peuvent ajouter des insights lors de la résolution des problèmes de latence de stockage. |
| \LogicalDisk*\Disk Writes\sec | Taux d’exécution des opérations d’écriture sur le disque. | Aucun seuil | Compteurs d’utilisation de disque (peut ajouter des insights lors de la résolution des problèmes de latence de stockage) |
| \LogicalDisk(*)\Disk Write Bytes\sec | Nombre d’octets par seconde qui sont écrits sur le disque. | Aucun seuil | Les compteurs d’utilisation de disque peuvent ajouter des insights lors de la résolution des problèmes de latence de stockage. |