Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Si applica a: Advanced Threat Analytics versione 1.9
I contatori delle prestazioni ATA forniscono informazioni dettagliate sulle prestazioni di ogni componente di ATA. I componenti in ATA elaborano i dati in sequenza, in modo che, nel momento in cui si verifica un problema, potrebbero causare un traffico parzialmente interrotto in un qualsiasi punto della catena di componenti. Per risolvere il problema, devi capire quale componente funziona male e risolvilo all'inizio della catena. Usare i dati trovati nei contatori delle prestazioni per comprendere il funzionamento di ogni componente. Fare riferimento all'architettura ATA per comprendere il flusso dei componenti ATA interni.
Processo del componente ATA:
Quando un componente raggiunge le dimensioni massime, impedisce al componente precedente di inviare più entità.
Alla fine, il componente precedente inizierà ad aumentare le proprie dimensioni fino a bloccare il componente che lo precede dall'inviare più entità.
Questo avviene fino a ritornare al componente NetworkListener, che scarta il traffico quando non può più inoltrare le entità.
Recupero dei file di monitoraggio delle prestazioni per la risoluzione dei problemi
Per recuperare i file BLG (Performance Monitor) dai vari componenti ATA:
- Aprire perfmon.
- Arrestare il set di raccolta dati denominato: Microsoft ATA Gateway o Microsoft ATA Center.
- Passare alla cartella del set di agenti di raccolta dati (per impostazione predefinita, si tratta di "C:\Programmi\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" o "C:\Programmi\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Copiare il file BLG modificato più di recente.
- Riavviare il set di agenti di raccolta dati denominato: Microsoft gateway ATA o Microsoft ATA Center.
Contatori delle prestazioni del gateway ATA
In questa sezione ogni riferimento al gateway ATA fa riferimento anche al gateway ATA Lightweight.
È possibile osservare lo stato delle prestazioni in tempo reale del gateway ATA aggiungendo i contatori delle prestazioni del gateway ATA. A tale scopo, aprire Monitor prestazioni e aggiungere tutti i contatori per il gateway ATA. Il nome dell'oggetto contatore delle prestazioni è Microsoft Gateway ATA.
Di seguito è riportato l'elenco dei principali contatori del gateway ATA a cui prestare attenzione:
| Contatore | Descrizione | Soglia | Troubleshooting |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener Messaggi PEF Analizzati\Sec | Quantità di traffico elaborata dal gateway ATA ogni secondo. | Nessuna soglia | Consente di comprendere la quantità di traffico analizzato dal gateway ATA. |
| Eventi PEF eliminati da NetworkListener\Sec | Quantità di traffico eliminata dal gateway ATA ogni secondo. | Questo numero deve essere sempre zero (rare brevi interruzioni sono accettabili). | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo componente ATA precedente. Verificare che non ci siano problemi con la CPU o la memoria. |
| Microsoft ATA Gateway\NetworkListener ETW Dropped Events\Sec | Quantità di traffico eliminata dal gateway ATA ogni secondo. | Questo numero deve essere sempre zero (brevi picchi di cali sono accettabili). | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo componente ATA precedente. Verificare che non ci siano problemi con la CPU o la memoria. |
| Microsoft ATA Gateway\NetworkActivityTranslator Message Data # Block Size | Quantità di traffico in coda per la conversione alle attività di rete. | Deve essere minore del valore massimo-1 (valore massimo predefinito: 100.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo componente ATA precedente. Verificare che non ci siano problemi con la CPU o la memoria. |
| Microsoft ATA Gateway\EntityResolver dimensioni del blocco attività | Numero di attività di rete in coda per la risoluzione. | Deve essere minore del valore massimo-1 (valore massimo predefinito: 10.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo componente ATA precedente. Verificare che non ci siano problemi con la CPU o la memoria. |
| Microsoft ATA Gateway\EntitySender Dimensione blocco batch delle entità | Quantità di attività di rete (NA) in coda da inviare al Centro ATA. | Deve essere minore del valore massimo-1 (valore massimo predefinito: 1.000.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo componente ATA precedente. Verificare che non ci siano problemi con la CPU o la memoria. |
| Microsoft Gateway ATA\EntitySender Batch Send Time | Quantità di tempo impiegato per inviare l'ultimo batch. | Dovrebbe essere inferiore a 1000 millisecondi la maggior parte delle volte | Verificare se sono presenti problemi di rete tra il gateway ATA e ATA Center. |
Note
- I contatori a tempo sono in millisecondi.
- A volte è più pratico monitorare l'elenco completo dei contatori usando il tipo di grafico Report (ad esempio: monitoraggio in tempo reale di tutti i contatori)
Contatori delle prestazioni del gateway ATA Lightweight
I contatori delle prestazioni possono essere usati per la gestione delle quote nel gateway Lightweight, per assicurarsi che ATA non svuota troppe risorse dai controller di dominio in cui è installato. Per misurare le limitazioni delle risorse applicate da ATA nel gateway Lightweight, aggiungere questi contatori.
Questa operazione viene eseguita aprendo Monitor prestazioni e aggiungendo tutti i contatori per il gateway ATA Lightweight. I nomi degli oggetti contatore delle prestazioni sono: Microsoft gateway ATA e Microsoft ATA Gateway Updater.
| Contatore | Descrizione | Soglia | Troubleshooting |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU Time Max % | Quantità massima di tempo cpu (in percentuale) che il processo Lightweight Gateway può utilizzare. | Nessuna soglia. | Si tratta della limitazione che protegge le risorse del controller di dominio dall'uso da parte del gateway ATA Lightweight. Se si nota che il processo raggiunge spesso il limite massimo per un periodo di tempo (il processo raggiunge il limite e quindi inizia a eliminare il traffico), significa che è necessario aggiungere altre risorse al server che esegue il controller di dominio. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Dimensione massima di commit memoria | Quantità massima di memoria impegnata (in byte) che il processo Lightweight Gateway può consumare. | Nessuna soglia. | Si tratta della limitazione che protegge le risorse del controller di dominio dall'uso da parte del gateway ATA Lightweight. Se si nota che il processo raggiunge spesso il limite massimo in un periodo di tempo (il processo raggiunge il limite e quindi inizia a eliminare il traffico), significa che è necessario aggiungere altre risorse al server che esegue il controller di dominio. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Dimensione Limite Set di Lavoro | Quantità massima di memoria fisica (in byte) che il processo Lightweight Gateway può utilizzare. | Nessuna soglia. | Si tratta della limitazione che protegge le risorse del controller di dominio dall'uso da parte del gateway ATA Lightweight. Se si nota che il processo raggiunge spesso il limite massimo in un periodo di tempo (il processo raggiunge il limite e quindi inizia a eliminare il traffico), significa che è necessario aggiungere altre risorse al server che esegue il controller di dominio. |
Per visualizzare il consumo effettivo, fare riferimento ai contatori seguenti:
| Contatore | Descrizione | Soglia | Troubleshooting |
|---|---|---|---|
| Processo(Microsoft.Tri.Gateway)%Tempo di elaborazione del processore | Quantità di tempo cpu (in percentuale) che il processo Lightweight Gateway sta effettivamente consumando. | Nessuna soglia. | Confrontare i risultati di questo contatore con il limite trovato in GatewayUpdaterResourceManager CPU Time Max %. Se si nota che il processo raggiunge spesso il limite massimo per un periodo di tempo (il processo raggiunge il limite e quindi inizia a eliminare il traffico), significa che è necessario dedicare più risorse al gateway Lightweight. |
| Processo (Microsoft. Tri.Gateway)\Byte privati | Quantità di memoria impegnata (in byte) che il processo Lightweight Gateway sta effettivamente consumando. | Nessuna soglia. | Confrontare i risultati di questo contatore con il limite trovato in GatewayUpdaterResourceManager Commit Memory Max Size. Se si nota che il processo raggiunge spesso il limite massimo per un periodo di tempo (il processo raggiunge il limite e quindi inizia a eliminare il traffico), significa che è necessario dedicare più risorse al gateway Lightweight. |
| Processo (Microsoft.Tri.Gateway)\Insieme di lavoro | Quantità di memoria fisica (in byte) effettivamente utilizzata dal processo Lightweight Gateway. | Nessuna soglia. | Confrontare i risultati di questo contatore con il limite trovato nelle dimensioni del set di lavoro di GatewayUpdaterResourceManager. Se si nota che il processo raggiunge spesso il limite massimo per un periodo di tempo (il processo raggiunge il limite e quindi inizia a eliminare il traffico), significa che è necessario dedicare più risorse al gateway Lightweight. |
Contatori delle prestazioni di ATA Center
È possibile osservare lo stato delle prestazioni in tempo reale di ATA Center aggiungendo i contatori delle prestazioni di ATA Center.
A tale scopo, aprire Monitor prestazioni e aggiungere tutti i contatori per ATA Center. Il nome dell'oggetto contatore delle prestazioni è Microsoft ATA Center.
Ecco l'elenco dei principali contatori di ATA Center a cui prestare attenzione:
| Contatore | Descrizione | Soglia | Troubleshooting |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver dimensione blocco batch di entità | Il numero di batch di entità accodati dal centro ATA. | Deve essere minore del valore massimo-1 (valore massimo predefinito: 10.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo del componente ATA precedente. Verificare che non ci siano problemi con la CPU o la memoria. |
| Microsoft ATA Center\NetworkActivityProcessor Dimensione del blocco attività di rete | Numero di attività di rete in coda per l'elaborazione. | Deve essere minore del valore massimo-1 (valore massimo predefinito: 50.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo del componente ATA precedente. Verificare che non ci siano problemi con la CPU o la memoria. |
| Microsoft ATA Center\EntityProfiler Dimensione Blocchi di Attività di Rete | Numero di attività di rete in coda per la profilatura. | Deve essere minore del valore massimo-1 (valore massimo predefinito: 100.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo del componente ATA precedente. Verificare che non ci siano problemi con la CPU o la memoria. |
| Microsoft ATA Center\Database * Dimensione del blocco | Numero di attività di rete di un tipo specifico in attesa di essere scritte nel database. | Deve essere minore del valore massimo-1 (valore massimo predefinito: 50.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo del componente ATA precedente. Verificare che non ci siano problemi con la CPU o la memoria. |
Note
- I contatori temporizzati sono misurati in millisecondi
- A volte è più pratico monitorare l'elenco completo dei contatori usando il tipo di grafo per Report (ad esempio: monitoraggio in tempo reale di tutti i contatori).
Contatori del sistema operativo
La tabella seguente elenca i principali contatori del sistema operativo a cui prestare attenzione:
| Contatore | Descrizione | Soglia | Troubleshooting |
|---|---|---|---|
| Processore(_Total)% tempo di elaborazione del processore | Percentuale di tempo trascorso che il processore impiega per eseguire un thread non inattio. | Meno di 80% in media | Controllare se è presente un processo specifico che richiede molto più tempo del processore di quanto dovrebbe. Aggiungere altri processori. Ridurre la quantità di traffico per server. Il contatore "Processor(_Total)% Processor Time" può essere meno accurato nei server virtuali, nel qual caso il modo più accurato per misurare la mancanza di potenza del processore avviene tramite il contatore "System\Processor Queue Length". |
| Sistema\Cambi di contesto\sec | Velocità combinata in base alla quale tutti i processori vengono passati da un thread a un altro. | Meno di 5000 core (core fisici) | Controllare se è presente un processo specifico che richiede molto più tempo del processore di quanto dovrebbe. Aggiungere altri processori. Ridurre la quantità di traffico per server. Il contatore "Processor(_Total)% Processor Time" può essere meno accurato nei server virtuali, nel qual caso il modo più accurato per misurare la mancanza di potenza del processore avviene tramite il contatore "System\Processor Queue Length". |
| Lunghezza della coda del processore e sistema | Numero di thread pronti per l'esecuzione e in attesa di essere pianificati. | Meno di cinque*core (core fisici) | Controllare se è presente un processo specifico che richiede molto più tempo del processore di quanto dovrebbe. Aggiungere altri processori. Ridurre la quantità di traffico per server. Il contatore "Processor(_Total)% Processor Time" può essere meno accurato nei server virtuali, nel qual caso il modo più accurato per misurare la mancanza di potenza del processore avviene tramite il contatore "System\Processor Queue Length". |
| Memoria\Megabyte disponibili | Quantità di memoria fisica (RAM) disponibile per l'allocazione. | Deve essere superiore a 512 | Controllare se è presente un processo specifico che richiede molto più memoria fisica di quanto dovrebbe. Aumentare la quantità di memoria fisica. Ridurre la quantità di traffico per server. |
| LogicalDisk(*)\Avg. Disk sec\Read | Latenza media per la lettura dei dati dal disco (è necessario scegliere l'unità di database come istanza). | Deve essere inferiore a 10 millisecondi | Controllare se è presente un processo specifico che utilizza l'unità di database più di quanto dovrebbe. Consultare il team di archiviazione o il fornitore per verificare se questo disco può gestire l'attuale carico di lavoro con meno di 10 ms di latenza. Il carico di lavoro corrente può essere determinato usando i contatori di utilizzo del disco. |
| LogicalDisk(*)\Avg. Disk sec\Write | Latenza media per la scrittura di dati nel disco (è necessario scegliere l'unità di database come istanza). | Deve essere inferiore a 10 millisecondi | Controllare se è presente un processo specifico che utilizza l'unità di database più di quanto dovrebbe. Contattare il team di archiviazione/fornitore per verificare se questa unità può restituire il carico di lavoro corrente mantenendo prestazioni di latenza inferiori a 10 ms. Il carico di lavoro corrente può essere determinato usando i contatori di utilizzo del disco. |
| \LogicalDisk(*)\Disk Reads\sec | Frequenza di esecuzione di operazioni di lettura sul disco. | Nessuna soglia | I contatori di utilizzo del disco possono aggiungere informazioni dettagliate durante la risoluzione dei problemi di latenza di archiviazione. |
| \LogicalDisk(*)\Disk Read Bytes\sec | Numero di byte al secondo letti dal disco. | Nessuna soglia | I contatori di utilizzo del disco possono aggiungere informazioni dettagliate durante la risoluzione dei problemi di latenza di archiviazione. |
| \LogicalDisk*\Scritture su disco\sec | Frequenza di esecuzione di operazioni di scrittura sul disco. | Nessuna soglia | Contatori di utilizzo del disco (possono aggiungere informazioni dettagliate durante la risoluzione dei problemi di latenza di archiviazione) |
| \LogicalDisk(*)\Disk Write Bytes\sec | Numero di byte al secondo scritti sul disco. | Nessuna soglia | I contatori di utilizzo del disco possono aggiungere informazioni dettagliate durante la risoluzione dei problemi di latenza di archiviazione. |