Solución de problemas de ATA mediante los contadores de rendimiento
Se aplica a: Advanced Threat Analytics versión 1.9
Los contadores de rendimiento de ATA proporcionan información sobre el rendimiento de cada componente de ATA. Los componentes de ATA procesan los datos secuencialmente, de modo que, cuando se produce un problema, podría provocar una caída parcial del tráfico en algún lugar de la cadena de componentes. Para solucionar el problema, debe averiguar qué componente está funcionando incorrectamente y corregir el problema al principio de la cadena. Use los datos encontrados en los contadores de rendimiento para comprender cómo funciona cada componente. Consulte la arquitectura de ATA para comprender el flujo de componentes internos de ATA.
Proceso de componente de ATA:
Cuando un componente alcanza su tamaño máximo, impide que el componente anterior envíe más entidades a él.
Entonces, el componente anterior comenzará a aumentar su propio tamaño hasta que bloquee al componente anterior para enviar más entidades.
Esto sucede hasta el componente NetworkListener, que perderá tráfico cuando ya no pueda reenviar entidades.
Recuperación de archivos de supervisión de rendimiento para solucionar problemas
Para recuperar los archivos del monitor de rendimiento (BLG) de los distintos componentes de ATA:
- Abra perfmon.
- Detenga el conjunto de recopiladores de datos denominado: Puerta de enlace de Microsoft ATA o Centro de Microsoft ATA.
- Vaya a la carpeta del conjunto de recopiladores de datos (de forma predeterminada, se trata de "C:\Archivos de programa\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" o "C:\Archivos de programa\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Copie el archivo BLG que se modificó más recientemente.
- Reinicie el conjunto de recopiladores de datos denominado: Puerta de enlace de Microsoft ATA o Centro de Microsoft ATA.
Contadores de rendimiento de la puerta de enlace de ATA
En esta sección, cada referencia a la puerta de enlace de ATA también hace referencia a la puerta de enlace ligera de ATA.
Puede observar el estado de rendimiento en tiempo real de la puerta de enlace de ATA agregando los contadores de rendimiento de la puerta de enlace de ATA. Para ello, abra Monitor de rendimiento y agregue todos los contadores para la puerta de enlace de ATA. El nombre del objeto de contador de rendimiento es: Puerta de enlace de Microsoft ATA.
Esta es la lista de los principales contadores de puerta de enlace de ATA a los que prestar atención:
| Contador | Descripción | Umbral | Solución de problemas |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF Parsed Messages\Sec | Cantidad de tráfico que la puerta de enlace de ATA procesa cada segundo. | Sin umbral | Le ayuda a comprender la cantidad de tráfico que analiza la puerta de enlace de ATA. |
| NetworkListener PEF Dropped Events\Sec | Cantidad de tráfico que la puerta de enlace de ATA pierde cada segundo. | Este número debe ser cero todo el tiempo (intervalos raros y cortos de caídas son aceptables). | Compruebe si hay algún componente que alcance su tamaño máximo y esté bloqueando los componentes anteriores hasta NetworkListener. Consulte el proceso de componente de ATA anterior. Compruebe que no hay ningún problema con la CPU o la memoria. |
| Microsoft ATA Gateway\NetworkListener ETW Dropped Events\Sec | Cantidad de tráfico que la puerta de enlace de ATA pierde cada segundo. | Este número debe ser cero todo el tiempo (intervalos raros y cortos de caídas son aceptables). | Compruebe si hay algún componente que alcance su tamaño máximo y esté bloqueando los componentes anteriores hasta NetworkListener. Consulte el proceso de componente de ATA anterior. Compruebe que no hay ningún problema con la CPU o la memoria. |
| Microsoft ATA Gateway\NetworkActivityTranslator Message Data # Block Size | Cantidad de tráfico en cola para la traducción a actividades de red (NA). | Debe ser menor que el máximo-1 (máximo predeterminado: 100 000) | Compruebe si hay algún componente que alcance su tamaño máximo y esté bloqueando los componentes anteriores hasta NetworkListener. Consulte el proceso de componente de ATA anterior. Compruebe que no hay ningún problema con la CPU o la memoria. |
| Microsoft ATA Gateway\EntityResolver Activity Block Size | Número de actividades de red (NA) en cola para la resolución. | Debe ser menor que el máximo-1 (máximo predeterminado: 10 000) | Compruebe si hay algún componente que alcance su tamaño máximo y esté bloqueando los componentes anteriores hasta NetworkListener. Consulte el proceso de componente de ATA anterior. Compruebe que no hay ningún problema con la CPU o la memoria. |
| Microsoft ATA Gateway\EntitySender Entity Batch Block Size | Cantidad de actividades de red (NA) en cola que se enviarán al Centro de ATA. | Debe ser menor que el máximo-1 (máximo predeterminado: 1 000 000) | Compruebe si hay algún componente que alcance su tamaño máximo y esté bloqueando los componentes anteriores hasta NetworkListener. Consulte el proceso de componente de ATA anterior. Compruebe que no hay ningún problema con la CPU o la memoria. |
| Microsoft ATA Gateway\EntitySender Batch Send Time | Cantidad de tiempo que tardó en enviar el último lote. | Debe ser inferior a 1000 milisegundos la mayor parte del tiempo | Compruebe si hay algún problema de red entre la puerta de enlace de ATA y el Centro de ATA. |
Nota:
- Los contadores con tiempo están en milisegundos.
- A veces es más conveniente supervisar la lista completa de los contadores mediante el tipo de gráfico de Informe (ejemplo: supervisión en tiempo real de todos los contadores)
Contadores de rendimiento de puerta de enlace ligera de ATA
Los contadores de rendimiento se pueden usar para la administración de cuotas en la puerta de enlace ligera, para asegurarse de que ATA no toma demasiados recursos de los controladores de dominio en los que está instalado. Para medir las limitaciones de recursos que ATA aplica en la puerta de enlace ligera, agregue estos contadores.
Para ello, abra Monitor de rendimiento y agregue todos los contadores para la puerta de enlace ligera de ATA. Los nombres de los objetos de contador de rendimiento son: Puerta de enlace de Microsoft ATA y Actualizador de la puerta de enlace de Microsoft ATA.
| Contador | Descripción | Umbral | Solución de problemas |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU Time Max % | Cantidad máxima de tiempo de CPU (en porcentaje) que puede consumir el proceso de puerta de enlace ligera. | Sin umbral. | Esta es la limitación que protege los recursos del controlador de dominio que la puerta de enlace ligera de ATA usa. Si ve que el proceso alcanza el límite máximo a menudo durante un período de tiempo (el proceso alcanza el límite y, a continuación, comienza a perder tráfico), significa que necesita agregar más recursos al servidor que ejecuta el controlador de dominio.. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Commit Memory Max Size | Cantidad máxima de memoria asignada (en bytes) que puede consumir el proceso de puerta de enlace ligera. | Sin umbral. | Esta es la limitación que protege los recursos del controlador de dominio que la puerta de enlace ligera de ATA usa. Si ve que el proceso alcanza el límite máximo a menudo durante un período de tiempo (el proceso alcanza el límite y, a continuación, comienza a perder tráfico), significa que necesita agregar más recursos al servidor que ejecuta el controlador de dominio. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Working Set Limit Size | Cantidad máxima de memoria física (en bytes) que puede consumir el proceso de puerta de enlace ligera. | Sin umbral. | Esta es la limitación que protege los recursos del controlador de dominio que la puerta de enlace ligera de ATA usa. Si ve que el proceso alcanza el límite máximo a menudo durante un período de tiempo (el proceso alcanza el límite y, a continuación, comienza a perder tráfico), significa que necesita agregar más recursos al servidor que ejecuta el controlador de dominio. |
Para ver el consumo real, consulte los contadores siguientes:
| Contador | Descripción | Umbral | Solución de problemas |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Processor Time | Cantidad de tiempo de CPU (en porcentaje) que el proceso de puerta de enlace ligera consume realmente. | Sin umbral. | Compare los resultados de este contador con el límite encontrado en GatewayUpdaterResourceManager CPU Time Max %. Si ve que el proceso alcanza el límite máximo a menudo durante un período de tiempo (el proceso alcanza el límite y, a continuación, comienza a perder tráfico), significa que necesita dedicar más recursos a la puerta de enlace ligera. |
| Process(Microsoft.Tri.Gateway)\Private Bytes | Cantidad de memoria asignada (en bytes) que realmente consume el proceso de puerta de enlace ligera. | Sin umbral. | Compare los resultados de este contador con el límite encontrado en GatewayUpdaterResourceManager Commit Memory Max Size. Si ve que el proceso alcanza el límite máximo a menudo durante un período de tiempo (el proceso alcanza el límite y, a continuación, comienza a perder tráfico), significa que necesita dedicar más recursos a la puerta de enlace ligera. |
| Process(Microsoft.Tri.Gateway)\Working Set | Cantidad de memoria física (en bytes) que realmente consume el proceso de puerta de enlace ligera. | Sin umbral. | Compare los resultados de este contador con el límite encontrado en GatewayUpdaterResourceManager Working Set Limit Size. Si ve que el proceso alcanza el límite máximo a menudo durante un período de tiempo (el proceso alcanza el límite y, a continuación, comienza a perder tráfico), significa que necesita dedicar más recursos a la puerta de enlace ligera. |
Contadores de rendimiento del Centro de ATA
Puede observar el estado de rendimiento en tiempo real del Centro de ATA agregando los contadores de rendimiento del Centro de ATA.
Para ello, abra Monitor de rendimiento y agregue todos los contadores para el Centro de ATA. El nombre del objeto de contador de rendimiento es: Centro de Microsoft ATA.
Esta es la lista de los principales contadores del Centro de ATA a los que prestar atención:
| Contador | Descripción | Umbral | Solución de problemas |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | Número de lotes de entidades en cola por el Centro de ATA. | Debe ser menor que el máximo-1 (máximo predeterminado: 10 000) | Compruebe si hay algún componente que alcance su tamaño máximo y esté bloqueando los componentes anteriores hasta NetworkListener. Consulte el proceso de componente de ATA precedente. Compruebe que no hay ningún problema con la CPU o la memoria. |
| Microsoft ATA Center\NetworkActivityProcessor Network Activity Block Size | Número de actividades de red (NA) en cola para su procesamiento. | Debe ser menor que el máximo-1 (máximo predeterminado: 50 000) | Compruebe si hay algún componente que alcance su tamaño máximo y esté bloqueando los componentes anteriores hasta NetworkListener. Consulte el proceso de componente de ATA precedente. Compruebe que no hay ningún problema con la CPU o la memoria. |
| Microsoft ATA Center\EntityProfiler Network Activity Block Size | Número de actividades de red (NA) en cola para la generación de perfiles. | Debe ser menor que el máximo-1 (máximo predeterminado: 100 000) | Compruebe si hay algún componente que alcance su tamaño máximo y esté bloqueando los componentes anteriores hasta NetworkListener. Consulte el proceso de componente de ATA precedente. Compruebe que no hay ningún problema con la CPU o la memoria. |
| Microsoft ATA Center\Database * Block Size | Número de actividades de red, de un tipo específico, en cola que se va a escribir en la base de datos. | Debe ser menor que el máximo-1 (máximo predeterminado: 50 000) | Compruebe si hay algún componente que alcance su tamaño máximo y esté bloqueando los componentes anteriores hasta NetworkListener. Consulte el proceso de componente de ATA precedente. Compruebe que no hay ningún problema con la CPU o la memoria. |
Nota:
- Los contadores con tiempo están en milisegundos
- A veces es más conveniente supervisar la lista completa de los contadores mediante el tipo de gráfico para Informe (ejemplo: supervisión en tiempo real de todos los contadores).
Contadores del sistema operativo
En la tabla siguiente se enumeran los contadores principales del sistema operativo a los que prestar atención:
| Contador | Descripción | Umbral | Solución de problemas |
|---|---|---|---|
| Procesador(_Total)% de tiempo del procesador | Porcentaje de tiempo transcurrido que el procesador invierte en ejecutar un subproceso activo. | Menos del 80 % en promedio | Compruebe si hay un proceso específico que toma mucho más tiempo de procesador de lo que debería. Agregue más procesadores. Reduzca la cantidad de tráfico por servidor. El contador "Processor(_Total)% Processor Time" puede ser menos preciso en los servidores virtuales, en cuyo caso la manera más precisa de medir la falta de potencia del procesador es mediante el contador "System\Processor Queue Length". |
| System\Context Switches\sec | Velocidad combinada a la que todos los procesadores se cambian de un subproceso a otro. | Menos de 5000*núcleos (núcleos físicos) | Compruebe si hay un proceso específico que toma mucho más tiempo de procesador de lo que debería. Agregue más procesadores. Reduzca la cantidad de tráfico por servidor. El contador "Processor(_Total)% Processor Time" puede ser menos preciso en los servidores virtuales, en cuyo caso la manera más precisa de medir la falta de potencia del procesador es mediante el contador "System\Processor Queue Length". |
| Sistema\Longitud de la cola del procesador | Número de subprocesos que están listos para ejecutarse y que están esperando para ser programados. | Menos de cinco núcleos*(núcleos físicos) | Compruebe si hay un proceso específico que toma mucho más tiempo de procesador de lo que debería. Agregue más procesadores. Reduzca la cantidad de tráfico por servidor. El contador "Processor(_Total)% Processor Time" puede ser menos preciso en los servidores virtuales, en cuyo caso la manera más precisa de medir la falta de potencia del procesador es mediante el contador "System\Processor Queue Length". |
| Memoria\MB disponibles | Cantidad de memoria física (RAM) disponible para la asignación. | Debe ser superior a 512 | Compruebe si hay un proceso específico que está tomando mucha más memoria física de la que debería. Aumente la cantidad de memoria física disponible. Reduzca la cantidad de tráfico por servidor. |
| LogicalDisk(*)\Avg. Disk sec\Read | Latencia media para leer datos del disco (debe elegir la unidad de base de datos como instancia). | Debe ser inferior a 10 milisegundos | Compruebe si hay un proceso específico que usa la unidad de base de datos más de lo que debería. Consulte con el equipo de almacenamiento o el proveedor si esta unidad puede entregar la carga de trabajo actual mientras tiene menos de 10 ms de latencia. La carga de trabajo actual se puede determinar mediante los contadores de uso del disco. |
| LogicalDisk(*)\Avg. Disk sec\Write | Latencia media para escribir datos en el disco (debe elegir la unidad de base de datos como instancia). | Debe ser inferior a 10 milisegundos | Compruebe si hay un proceso específico que usa la unidad de base de datos más de lo que debería. Consulte con el equipo de almacenamiento o el proveedor si esta unidad puede entregar la carga de trabajo actual con menos de 10 ms de latencia. La carga de trabajo actual se puede determinar mediante los contadores de uso del disco. |
| \LogicalDisk(*)\Disk Reads\sec | Velocidad de realización de operaciones de lectura en el disco. | Sin umbral | Los contadores de uso de disco pueden proporcionar información al solucionar problemas de latencia de almacenamiento. |
| \LogicalDisk(*)\Disk Read Bytes\sec | El número de bytes por segundo que se están leyendo del disco. | Sin umbral | Los contadores de uso de disco pueden proporcionar información al solucionar problemas de latencia de almacenamiento. |
| \LogicalDisk*\Disk Writes\sec | Velocidad de realización de operaciones de escritura en el disco. | Sin umbral | Contadores de uso de disco (pueden agregar información al solucionar problemas de latencia de almacenamiento) |
| \LogicalDisk(*)\Disk Write Bytes\sec | El número de bytes por segundo que se escriben en el disco. | Sin umbral | Los contadores de uso de disco pueden proporcionar información al solucionar problemas de latencia de almacenamiento. |