Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Gäller för: Advanced Threat Analytics version 1.9
ATA-prestandaräknarna ger insikt i hur bra varje komponent i ATA presterar. Komponenterna i ATA bearbetar data sekventiellt, så att när det uppstår ett problem kan det orsaka delvis tappad trafik någonstans längs komponentkedjan. För att åtgärda problemet måste du ta reda på vilken komponent som slår tillbaka och åtgärda problemet i början av kedjan. Använd de data som finns i prestandaräknarna för att förstå hur varje komponent fungerar. Se ATA-arkitekturen för att förstå flödet av interna ATA-komponenter.
ATA-komponentprocess:
När en komponent når sin maximala storlek blockerar den föregående komponenten från att skicka fler entiteter till den.
Sedan börjar den tidigare komponenten att öka sin egen storlek tills den blockerar komponenten före den, från att skicka fler entiteter.
Detta sker hela vägen tillbaka till NetworkListener-komponenten, som släpper trafik när den inte längre kan vidarebefordra entiteter.
Hämtar prestandaövervakningsfiler för felsökning
Så här hämtar du prestandaövervakningsfilerna (BLG) från de olika ATA-komponenterna:
- Öppna perfmon.
- Stoppa datainsamlaruppsättningen med namnet: Microsoft ATA Gateway eller Microsoft ATA Center.
- Gå till mappen för datainsamlingsuppsättningen (som standard är det "C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" eller "C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Kopiera BLG-filen som senast ändrades.
- Starta om datainsamlaruppsättningen med namnet: Microsoft ATA Gateway eller Microsoft ATA Center.
Prestandaräknare för ATA Gateway
I det här avsnittet refererar varje referens till ATA Gateway även till ATA Lightweight Gateway.
Du kan se prestandastatusen i realtid för ATA Gateway genom att lägga till ATA Gateways prestandaräknare. Detta görs genom att öppna Performance Monitor och lägga till alla räknare för ATA Gateway. Namnet på prestandaräknarens objekt är: Microsoft ATA Gateway.
Här är listan över de viktigaste ATA Gateway-räknarna att vara uppmärksam på:
| Räknare | Beskrivning | Tröskelvärde | Troubleshooting |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF Analyserade meddelanden\Sek | Mängden trafik som bearbetas av ATA Gateway varje sekund. | Inget tröskelvärde | Hjälper dig att förstå mängden trafik som parsas av ATA Gateway. |
| NetworkListener PEF-borttagna händelser\sek | Mängden trafik som släpps av ATA Gateway varje sekund. | Det här talet bör ständigt vara noll (sällsynta korta förluster är acceptabla). | Kontrollera om det finns någon komponent som har nått sin maximala storlek och blockerar tidigare komponenter hela vägen till NetworkListener. Se ATA-komponentprocessen ovan. Kontrollera att det inte finns några problem med processorn eller minnet. |
| Microsoft ATA Gateway\NetworkListener ETW droppade händelser/sek | Mängden trafik som släpps av ATA Gateway varje sekund. | Det här antalet ska alltid vara noll (sällsynta korta droppar är acceptabla). | Kontrollera om det finns någon komponent som har nått sin maximala storlek och blockerar tidigare komponenter hela vägen till NetworkListener. Se ATA-komponentprocessen ovan. Kontrollera att det inte finns några problem med processorn eller minnet. |
| Microsoft ATA Gateway\NetworkActivityTranslator Meddelandedata # Blockstorlek | Mängden trafik som köas för översättning till nätverksaktiviteter (NA). | Bör vara mindre än max-1 (standard maximum: 100,000) | Kontrollera om det finns någon komponent som har nått sin maximala storlek och blockerar tidigare komponenter hela vägen till NetworkListener. Se ATA-komponentprocessen ovan. Kontrollera att det inte finns några problem med processorn eller minnet. |
| Microsoft ATA Gateway\EntityResolver- aktivitetsblockstorlek | Antalet nätverksaktiviteter (NA) i kö för lösning. | Bör vara mindre än max-1 (standard maximum: 10,000) | Kontrollera om det finns någon komponent som har nått sin maximala storlek och blockerar tidigare komponenter hela vägen till NetworkListener. Se ATA-komponentprocessen ovan. Kontrollera att det inte finns några problem med processorn eller minnet. |
| Microsoft ATA Gateway\EntitySender Enhetspaketets Blockstorlek | Mängden nätverksaktiviteter i kö som ska skickas till ATA Center. | Bör vara mindre än max-1 (standard maximum: 1,000,000) | Kontrollera om det finns någon komponent som har nått sin maximala storlek och blockerar tidigare komponenter hela vägen till NetworkListener. Se ATA-komponentprocessen ovan. Kontrollera att det inte finns några problem med processorn eller minnet. |
| Microsoft ATA Gateway\EntitySender Batch-sändningstid | Hur lång tid det tog att skicka den sista batchen. | Bör vara mindre än 1 000 millisekunder för det mesta | Kontrollera om det finns några nätverksproblem mellan ATA Gateway och ATA Center. |
Note
- Tidsräknarna är i millisekunder.
- Det är ibland enklare att övervaka den fullständiga listan över räknarna med hjälp av diagramtypen Rapport (exempel: realtidsövervakning av alla räknare)
Prestandaräknare för ATA Lightweight Gateway
Prestandaräknarna kan användas för kvothantering i Lightweight Gateway för att se till att ATA inte tömmer för många resurser från de domänkontrollanter som den är installerad på. Om du vill mäta de resursbegränsningar som ATA tillämpar på Lightweight Gateway lägger du till dessa räknare.
Detta görs genom att öppna Performance Monitor och lägga till alla räknare för ATA Lightweight Gateway. Namnen på prestandaräknarens objekt är: Microsoft ATA Gateway och Microsoft ATA Gateway Updater.
| Räknare | Beskrivning | Tröskelvärde | Troubleshooting |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU Time Max % | Den maximala cpu-tid (i procent) som Lightweight Gateway-processen kan använda. | Inget tröskelvärde. | Det här är den begränsning som skyddar domänkontrollantresurserna från att användas av ATA Lightweight Gateway. Om du ser att processen når den maximala gränsen ofta under en tidsperiod (processen når gränsen och sedan börjar släppa trafik) innebär det att du måste lägga till fler resurser på servern som kör domänkontrollanten.. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Maximal Storlek för Tilldelat Minne | Den maximala mängden allokerat minne (i byte) som Lightweight Gateway-processen kan använda. | Inget tröskelvärde. | Det här är den begränsning som skyddar domänkontrollantresurserna från att användas av ATA Lightweight Gateway. Om du ser att processen når den maximala gränsen ofta under en tidsperiod (processen når gränsen och sedan börjar släppa trafik) innebär det att du måste lägga till fler resurser på servern som kör domänkontrollanten. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Arbetsminnesgräns storlek | Den maximala mängden fysiskt minne (i byte) som Lightweight Gateway-processen kan använda. | Inget tröskelvärde. | Det här är den begränsning som skyddar domänkontrollantresurserna från att användas av ATA Lightweight Gateway. Om du ser att processen når den maximala gränsen ofta under en tidsperiod (processen når gränsen och sedan börjar släppa trafik) innebär det att du måste lägga till fler resurser på servern som kör domänkontrollanten. |
För att se din faktiska förbrukning, se följande räknare:
| Räknare | Beskrivning | Tröskelvärde | Troubleshooting |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Processoranvändningstid | Mängden CPU-tid (i procent) som Lightweight Gateway-processen faktiskt förbrukar. | Inget tröskelvärde. | Jämför resultatet av den här räknaren med den gräns som finns i GatewayUpdaterResourceManager CPU Time Max %. Om du ser att processen når den maximala gränsen ofta under en tidsperiod (processen når gränsen och sedan börjar släppa trafik) innebär det att du måste ägna mer resurser åt Lightweight Gateway. |
| Process(Microsoft. Tri.Gateway)\Privata byte | Mängden incheckat minne (i byte) som Lightweight Gateway-processen faktiskt förbrukar. | Inget tröskelvärde. | Jämför resultatet av den här räknaren med den gräns som finns i GatewayUpdaterResourceManager Commit Memory Max Size. Om du ser att processen når den maximala gränsen ofta under en tidsperiod (processen når gränsen och sedan börjar släppa trafik) innebär det att du måste ägna mer resurser åt Lightweight Gateway. |
| Process(Microsoft. Tri.Gateway)\Arbetsuppsättning | Mängden fysiskt minne (i byte) som Lightweight Gateway-processen faktiskt förbrukar. | Inget tröskelvärde. | Jämför resultatet av den här räknaren med den gräns som finns i GatewayUpdaterResourceManager Working Set Limit Size. Om du ser att processen når den maximala gränsen ofta under en tidsperiod (processen når gränsen och sedan börjar släppa trafik) innebär det att du måste ägna mer resurser åt Lightweight Gateway. |
Prestandaräknare för ATA Center
Du kan se prestandastatusen i realtid för ATA Center genom att lägga till ATA Centers prestandaräknare.
Detta görs genom att öppna Performance Monitor och lägga till alla räknare för ATA Center. Namnet på prestandaräknarens objekt är: Microsoft ATA Center.
Här är listan över de viktigaste ATA Center-räknarna att vara uppmärksam på:
| Räknare | Beskrivning | Tröskelvärde | Troubleshooting |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | Antalet entitetsbatcher i kö vid ATA-centret. | Bör vara mindre än max-1 (standard maximum: 10,000) | Kontrollera om det finns någon komponent som har nått sin maximala storlek och blockerar tidigare komponenter hela vägen till NetworkListener. Se föregående ATA-komponentprocess. Kontrollera att det inte finns några problem med processorn eller minnet. |
| Microsoft ATA Center\NetworkActivityProcessor Nätverksaktivitetsblockstorlek | Antalet nätverksaktiviteter (NA) i kö för bearbetning. | Bör vara mindre än max-1 (standard max: 50 000) | Kontrollera om det finns någon komponent som har nått sin maximala storlek och blockerar tidigare komponenter hela vägen till NetworkListener. Se föregående ATA-komponentprocess. Kontrollera att det inte finns några problem med processorn eller minnet. |
| Microsoft ATA Center\EntityProfiler Blockstorlek för nätverksaktivitet | Antalet nätverksaktiviteter (NA) i kö för profilering. | Bör vara mindre än max-1 (standard maximum: 100,000) | Kontrollera om det finns någon komponent som har nått sin maximala storlek och blockerar tidigare komponenter hela vägen till NetworkListener. Se tidigare ATA-komponentprocess. Kontrollera att det inte finns några problem med processorn eller minnet. |
| Microsoft ATA Center\Database * Blockstorlek | Det antal nätverksaktiviteter av en viss typ i kö för att skrivas i databasen. | Bör vara mindre än max-1 (standard max: 50 000) | Kontrollera om det finns någon komponent som har nått sin maximala storlek och blockerar tidigare komponenter hela vägen till NetworkListener. Se föregående ATA-komponentprocess. Kontrollera att det inte finns några problem med processorn eller minnet. |
Note
- Tidsräknarna är i millisekunder
- Ibland är det enklare att övervaka hela listan över räknare med hjälp av graftypen för Rapport (till exempel realtidsövervakning av alla räknare).
Operativsystemräknare
I följande tabell visas de viktigaste operativsystemräknarna att vara uppmärksamma på:
| Räknare | Beskrivning | Tröskelvärde | Troubleshooting |
|---|---|---|---|
| Processor(_Total)% Processortid | Procentandelen förfluten tid som processorn lägger på att köra en tråd som inte är inaktiv. | Mindre än 80% i genomsnitt | Kontrollera om det finns en specifik process som tar mycket mer processortid än den borde. Lägg till fler processorer. Minska mängden trafik per server. Räknaren "Processor(_Total)% Processortid" kan vara mindre exakt på virtuella servrar, i vilket fall det mer exakta sättet att mäta bristen på processorkraft är via räknaren "System\Processorkölängd". |
| System\Kontextväxlar\sek | Den kombinerade hastighet med vilken alla processorer växlas från en tråd till en annan. | Mindre än 5 000*kärnor (fysiska kärnor) | Kontrollera om det finns en specifik process som tar mycket mer processortid än den borde. Lägg till fler processorer. Minska mängden trafik per server. Räknaren "Processor(_Total)% Processortid" kan vara mindre exakt på virtuella servrar, i vilket fall det mer exakta sättet att mäta bristen på processorkraft är via räknaren "System\Processorkölängd". |
| System\Processorkölängd | Antalet trådar som är redo att köras och som väntar på att schemaläggas. | Färre än fem*kärnor (fysiska kärnor) | Kontrollera om det finns en specifik process som tar mycket mer processortid än den borde. Lägg till fler processorer. Minska mängden trafik per server. Räknaren "Processor(_Total)% Processortid" kan vara mindre exakt på virtuella servrar, i vilket fall det mer exakta sättet att mäta bristen på processorkraft är via räknaren "System\Processorkölängd". |
| Memory\Available MBytes | Mängden fysiskt minne (RAM) som är tillgängligt för allokering. | Bör vara mer än 512 | Kontrollera om det finns en specifik process som tar mycket mer fysiskt minne än det borde. Öka mängden fysiskt minne. Minska mängden trafik per server. |
| LogicalDisk(*)\Avg. Disk sec\Read | Den genomsnittliga svarstiden för att läsa data från disken (du bör välja databasenheten som instans). | Bör vara mindre än 10 millisekunder | Kontrollera om det finns en specifik process som använder databasenheten mer än den borde. Kontakta lagringsteamet/leverantören om den här enheten kan leverera den aktuella arbetsbelastningen med mindre än 10 ms svarstid. Den aktuella arbetsbelastningen kan fastställas med diskanvändningsräknare. |
| LogicalDisk(*)\Avg. Disk sec\Write | Den genomsnittliga svarstiden för att skriva data till disken (du bör välja databasenheten som instans). | Bör vara mindre än 10 millisekunder | Kontrollera om det finns en specifik process som använder databasenheten mer än den borde. Kontakta lagringsteamet/leverantören om den här enheten kan leverera den aktuella arbetsbelastningen med mindre än 10 ms svarstid. Den aktuella arbetsbelastningen kan fastställas med diskanvändningsräknare. |
| \LogicalDisk(*)\Diskläsningar\sek | Frekvensen för att utföra läsåtgärder på disken. | Inget tröskelvärde | Diskanvändningsräknare kan lägga till insikter vid felsökning av lagringsfördröjning. |
| \LogicalDisk(*)\Disk Read Bytes\sec | Antalet byte per sekund som läss från disken. | Inget tröskelvärde | Diskanvändningsräknare kan lägga till insikter vid felsökning av lagringsfördröjning. |
| \LogicalDisk*\Diskskrivningar/per sek | Frekvensen för att utföra skrivåtgärder till disken. | Inget tröskelvärde | Diskanvändningsräknare (kan lägga till insikter när du felsöker lagringsfördröjningen) |
| \LogicalDisk(*)\Disk Write Bytes\sec | Antalet byte per sekund som skrivs till disken. | Inget tröskelvärde | Diskanvändningsräknare kan lägga till insikter vid felsökning av lagringsfördröjning. |