適用対象: Advanced Threat Analytics バージョン 1.9
ATA パフォーマンス カウンターは、ATA の各コンポーネントのパフォーマンスに関する分析情報を提供します。 ATA のコンポーネントはデータを順番に処理するため、問題が発生すると、コンポーネントのチェーンに沿ってトラフィックが部分的にドロップされる可能性があります。 問題を解決するには、どのコンポーネントが不具合を起こしているかを特定し、問題の発端で対処する必要があります。 パフォーマンス カウンターにあるデータを使用して、各コンポーネントがどのように機能しているかを理解します。 内部 ATA コンポーネントのフローについては、 ATA アーキテクチャ を参照してください。
ATA コンポーネント プロセス:
コンポーネントが最大サイズに達すると、前のコンポーネントがそれ以上のエンティティを送信するのをブロックします。
その後、やがて前のコンポーネントはそのサイズを増やし始め、先行するコンポーネントがさらに多くのエンティティを送るのを妨げるようになります。
トラフィックは、エンティティをもはや転送できなくなったときに、NetworkListener コンポーネントまで遡ってドロップされます。
トラブルシューティングのためのパフォーマンス モニター ファイルの取得
さまざまな ATA コンポーネントからパフォーマンス モニター ファイル (BLG) を取得するには:
- perfmon を開きます。
- Microsoft ATA ゲートウェイ または Microsoft ATA センターという名前のデータ コレクター セットを停止します。
- データ コレクター セット フォルダーに移動します (既定では、これは "C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" または "C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets" です)。
- 最近変更された BLG ファイルをコピーします。
- Microsoft ATA ゲートウェイ または Microsoft ATA センター という名前のデータ コレクター セットを再起動します。
ATA ゲートウェイのパフォーマンス カウンター
このセクションでは、ATA ゲートウェイへのすべての参照は、ATA Lightweight Gateway も参照します。
ATA ゲートウェイのパフォーマンス カウンターを追加することで、ATA ゲートウェイのリアルタイム のパフォーマンス状態を確認できます。 これを行うには、パフォーマンス モニターを開き、ATA ゲートウェイのすべてのカウンターを追加します。 パフォーマンス カウンター オブジェクトの名前は、Microsoft ATA ゲートウェイです。
注意が必要な主な ATA ゲートウェイ カウンターの一覧を次に示します。
| カウンター | 説明 | しきい値 | Troubleshooting |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF パースされたメッセージ\秒 | ATA ゲートウェイによって 1 秒ごとに処理されるトラフィックの量。 | しきい値なし | ATA ゲートウェイによって解析されているトラフィックの量を理解するのに役立ちます。 |
| ネットワークリスナー PEF ドロップイベント数/秒 | ATA ゲートウェイによって 1 秒ごとに破棄されるトラフィックの量。 | この数は常に 0 にする必要があります (まれな短いドロップバーストが許容されます)。 | 最大サイズに達し、NetworkListener まで前のコンポーネントをブロックしているコンポーネントがあるかどうかを確認します。 上記の ATA コンポーネント プロセス を参照してください。 CPU またはメモリに問題がないことを確認します。 |
| MICROSOFT ATA Gateway\NetworkListener ETW Dropped Events\Sec | ATA ゲートウェイによって 1 秒ごとに破棄されるトラフィックの量。 | この数は常に 0 にする必要があります (まれな短いドロップバーストが許容されます)。 | 最大サイズに達し、NetworkListener まで前のコンポーネントをブロックしているコンポーネントがあるかどうかを確認します。 上記の ATA コンポーネント プロセス を参照してください。 CPU またはメモリに問題がないことを確認します。 |
| Microsoft ATA Gateway\NetworkActivityTranslator メッセージ データ # ブロック サイズ | ネットワーク アクティビティ (NA) への変換のためにキューに入ったトラフィックの量。 | 最大 1 未満にする必要があります (既定の最大値: 100,000) | 最大サイズに達し、NetworkListener まで前のコンポーネントをブロックしているコンポーネントがあるかどうかを確認します。 上記の ATA コンポーネント プロセス を参照してください。 CPU またはメモリに問題がないことを確認します。 |
| Microsoft ATA Gateway\EntityResolver アクティビティ ブロック サイズ | 解決のためにキューに登録されたネットワーク アクティビティ (NA) の数。 | 最大 1 未満にする必要があります (既定の最大値: 10,000) | 最大サイズに達し、NetworkListener まで前のコンポーネントをブロックしているコンポーネントがあるかどうかを確認します。 上記の ATA コンポーネント プロセス を参照してください。 CPU またはメモリに問題がないことを確認します。 |
| Microsoft ATA ゲートウェイ\EntitySender エンティティ バッチ ブロック サイズ | ATA センターに送信されるキューに登録されているネットワーク アクティビティ (NA) の量。 | 最大 1 未満にする必要があります (既定の最大値: 1,000,000) | 最大サイズに達し、NetworkListener まで前のコンポーネントをブロックしているコンポーネントがあるかどうかを確認します。 上記の ATA コンポーネント プロセス を参照してください。 CPU またはメモリに問題がないことを確認します。 |
| Microsoft ATA ゲートウェイ\EntitySender バッチ送信時間 | 最後のバッチの送信にかかった時間。 | ほとんどの場合、1000 ミリ秒未満にする必要があります | ATA ゲートウェイと ATA センターの間にネットワークの問題があるかどうかを確認します。 |
Note
- 時間指定カウンターはミリ秒単位です。
- レポート グラフの種類を使用してカウンターの完全な一覧を監視する方が便利な場合があります (例: すべてのカウンターのリアルタイム監視)。
ATA Lightweight Gateway のパフォーマンス カウンター
パフォーマンス カウンターは、Lightweight Gateway のクォータ管理に使用して、ATA がインストールされているドメイン コントローラーから過剰な数のリソースをドレインしないようにすることができます。 ATA が Lightweight Gateway に適用するリソース制限を測定するには、これらのカウンターを追加します。
これを行うには、パフォーマンス モニターを開き、ATA Lightweight Gateway のすべてのカウンターを追加します。 パフォーマンス カウンター オブジェクトの名前は、Microsoft ATA ゲートウェイと Microsoft ATA ゲートウェイ アップデーターです。
| カウンター | 説明 | しきい値 | Troubleshooting |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU Time 最大% | Lightweight Gateway プロセスが使用できる CPU 時間の最大量 (パーセンテージ)。 | しきい値なし。 | これは、ドメイン コントローラー リソースが ATA Lightweight Gateway によって使用されないように保護する制限です。 プロセスが一定期間にわたって頻繁に最大限界に達し、トラフィックの減少を始める場合は、ドメインコントローラーを実行しているサーバーにリソースを追加する必要があります。 |
| Microsoft ATA ゲートウェイ アップデーター\GatewayUpdaterResourceManager コミット メモリ最大サイズ | Lightweight Gateway プロセスが使用できるコミット済みメモリの最大量 (バイト単位)。 | しきい値なし。 | これは、ドメイン コントローラー リソースが ATA Lightweight Gateway によって使用されないように保護する制限です。 プロセスが一定期間 (プロセスが制限に達し、トラフィックのドロップを開始する) に頻繁に上限に達する場合は、ドメイン コントローラーを実行しているサーバーにリソースを追加する必要があることを意味します。 |
| Microsoft ATA ゲートウェイ アップデーター\ゲートウェイ アップデーター リソース マネージャー ワーキング セット リミット サイズ | Lightweight Gateway プロセスで使用できる物理メモリの最大量 (バイト単位)。 | しきい値なし。 | これは、ドメイン コントローラー リソースが ATA Lightweight Gateway によって使用されないように保護する制限です。 プロセスが一定期間 (プロセスが制限に達し、トラフィックのドロップを開始する) に頻繁に上限に達する場合は、ドメイン コントローラーを実行しているサーバーにリソースを追加する必要があることを意味します。 |
実際の消費量を確認するには、次のカウンターを参照してください。
| カウンター | 説明 | しきい値 | Troubleshooting |
|---|---|---|---|
| Process(Microsoft。Tri.Gateway)%Processor時間 | Lightweight Gateway プロセスが実際に消費している CPU 時間 (割合)。 | しきい値なし。 | このカウンターの結果を GatewayUpdaterResourceManager CPU Time Max %で見つかった制限と比較します。 プロセスが一定期間 (プロセスが制限に達し、トラフィックのドロップを開始する) に頻繁に上限に達する場合は、Lightweight Gateway に専用のリソースを増やす必要があることを意味します。 |
| Process(Microsoft.Tri.Gateway)\Private Bytes | ライトウェイト ゲートウェイ プロセスが実際に消費しているコミット済みメモリの量 (バイト単位)。 | しきい値なし。 | このカウンターの結果を、GatewayUpdaterResourceManager コミット メモリの最大サイズで見つかった制限と比較します。 プロセスが一定期間 (プロセスが制限に達し、トラフィックのドロップを開始する) に頻繁に上限に達する場合は、Lightweight Gateway に専用のリソースを増やす必要があることを意味します。 |
| Process(Microsoft.Tri.Gateway)\ワーキング セット | Lightweight Gateway プロセスが実際に消費している物理メモリの量 (バイト単位)。 | しきい値なし。 | このカウンターの結果を、GatewayUpdaterResourceManager ワーキング セットの制限サイズで見つかった制限と比較します。 プロセスが一定期間 (プロセスが制限に達し、トラフィックのドロップを開始する) に頻繁に上限に達する場合は、Lightweight Gateway に専用のリソースを増やす必要があることを意味します。 |
ATA センターのパフォーマンス カウンター
ATA センターのパフォーマンス カウンターを追加することで、ATA センターのリアルタイム のパフォーマンス状態を確認できます。
これを行うには、パフォーマンス モニターを開き、ATA センターのすべてのカウンターを追加します。 パフォーマンス カウンター オブジェクトの名前は、Microsoft ATA センターです。
注意が必要な主な ATA センター カウンターの一覧を次に示します。
| カウンター | 説明 | しきい値 | Troubleshooting |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | ATA センターによってキューに登録されたエンティティ バッチの数。 | 最大 1 未満にする必要があります (既定の最大値: 10,000) | 最大サイズに達し、NetworkListener まで前のコンポーネントをブロックしているコンポーネントがあるかどうかを確認します。 前述の ATA コンポーネント プロセスを参照してください。 CPU またはメモリに問題がないことを確認します。 |
| Microsoft ATA Center\NetworkActivityProcessor ネットワーク アクティビティ ブロック サイズ | 処理のためにキューに登録されたネットワーク アクティビティ (NA) の数。 | 最大 1 未満にする必要があります (既定の最大値: 50,000) | 最大サイズに達し、NetworkListener まで前のコンポーネントをブロックしているコンポーネントがあるかどうかを確認します。 前述の ATA コンポーネント プロセスを参照してください。 CPU またはメモリに問題がないことを確認します。 |
| MICROSOFT ATA Center\EntityProfiler ネットワーク アクティビティ のブロック サイズ | プロファイリングのためにキューに登録されたネットワーク アクティビティ (NA) の数。 | 最大 1 未満にする必要があります (既定の最大値: 100,000) | 最大サイズに達し、NetworkListener まで前のコンポーネントをブロックしているコンポーネントがあるかどうかを確認します。 前述の ATA コンポーネント プロセスを参照してください。 CPU またはメモリに問題がないことを確認します。 |
| Microsoft ATA Center\Database * ブロックサイズ | データベースに書き込まれるキューに入った、特定の種類のネットワーク アクティビティの数。 | 最大 1 未満にする必要があります (既定の最大値: 50,000) | 最大サイズに達し、NetworkListener まで前のコンポーネントをブロックしているコンポーネントがあるかどうかを確認します。 前述の ATA コンポーネント プロセスを参照してください。 CPU またはメモリに問題がないことを確認します。 |
Note
- 時間指定カウンターはミリ秒単位です
- レポートのグラフの種類を使用してカウンターの完全な一覧を監視する方が便利な場合があります (例: すべてのカウンターのリアルタイム監視)。
オペレーティング システム カウンター
次の表に、注意を払う主なオペレーティング システム カウンターを示します。
| カウンター | 説明 | しきい値 | Troubleshooting |
|---|---|---|---|
| プロセッサ(_Total)% プロセッサ時間 | プロセッサが非アイドル スレッドの実行に費やす経過時間の割合。 | 平均で 80% 未満 | 必要以上に多くのプロセッサ時間を取っている特定のプロセスがあるかどうかを確認します。 プロセッサを追加します。 サーバーあたりのトラフィック量を減らします。 "Processor(_Total)% Processor Time" カウンターは、仮想サーバーでは精度が低い場合があります。この場合、プロセッサの電力不足を測定するより正確な方法は、"System\Processor Queue Length" カウンターを使用することです。 |
| System\Context Switches\sec | すべてのプロセッサが 1 つのスレッドから別のスレッドに切り替える合計レート。 | コア数が 5,000 未満 (物理コア) | 必要以上に多くのプロセッサ時間を取っている特定のプロセスがあるかどうかを確認します。 プロセッサを追加します。 サーバーあたりのトラフィック量を減らします。 "Processor(_Total)% Processor Time" カウンターは、仮想サーバーでは精度が低い場合があります。この場合、プロセッサの電力不足を測定するより正確な方法は、"System\Processor Queue Length" カウンターを使用することです。 |
| システム\プロセッサキュー長 | 実行する準備が整い、スケジュールされるのを待っているスレッドの数。 | 5コア未満(物理コア) | 必要以上に多くのプロセッサ時間を取っている特定のプロセスがあるかどうかを確認します。 プロセッサを追加します。 サーバーあたりのトラフィック量を減らします。 "Processor(_Total)% Processor Time" カウンターは、仮想サーバーでは精度が低い場合があります。この場合、プロセッサの電力不足を測定するより正確な方法は、"System\Processor Queue Length" カウンターを使用することです。 |
| メモリ\使用可能なメガバイト | 割り当てに使用できる物理メモリ (RAM) の量。 | 512 を超える必要があります | 必要以上に多くの物理メモリを使用している特定のプロセスがあるかどうかを確認します。 物理メモリの量を増やします。 サーバーあたりのトラフィック量を減らします。 |
| 論理ディスク(*)\平均ディスク秒\Read | ディスクからデータを読み取るための平均待機時間 (インスタンスとしてデータベース ドライブを選択する必要があります)。 | 10 ミリ秒未満にする必要があります | 必要以上にデータベース ドライブを利用している特定のプロセスがあるかどうかを確認します。 このドライブが 10 ミリ秒未満の待機時間で現在のワークロードを提供できる場合は、ストレージ チーム/ベンダーにお問い合わせください。 現在のワークロードは、ディスク使用率カウンターを使用して決定できます。 |
| LogicalDisk(*)\Avg. Disk sec\Write | ディスクにデータを書き込むための平均待機時間 (インスタンスとしてデータベース ドライブを選択する必要があります)。 | 10 ミリ秒未満にする必要があります | 必要以上にデータベース ドライブを利用している特定のプロセスがあるかどうかを確認します。 このドライブが 10 ミリ秒未満の待機時間で現在のワークロードを提供できる場合は、ストレージ チーム/ベンダーにお問い合わせください。 現在のワークロードは、ディスク使用率カウンターを使用して決定できます。 |
| \LogicalDisk(*)\Disk Reads\sec | ディスクに対して読み取り操作を実行する速度。 | しきい値なし | ディスク使用率カウンターは、ストレージ待機時間のトラブルシューティング時に分析情報を追加できます。 |
| \LogicalDisk(*)\Disk Read Bytes\sec | ディスクから読み取られる 1 秒あたりのバイト数。 | しきい値なし | ディスク使用率カウンターは、ストレージ待機時間のトラブルシューティング時に分析情報を追加できます。 |
| \LogicalDisk*\ディスク書き込み\秒 | ディスクへの書き込み操作を実行する速度。 | しきい値なし | ディスク使用率カウンター (ストレージ待機時間のトラブルシューティング時に分析情報を追加できます) |
| \LogicalDisk(*)\Disk Write Bytes\sec | ディスクに書き込まれる 1 秒あたりのバイト数。 | しきい値なし | ディスク使用率カウンターは、ストレージ待機時間のトラブルシューティング時に分析情報を追加できます。 |