Résolution des problèmes d’ATA à l’aide des compteurs de performance
S’applique à : Advanced Threat Analytics version 1.9
Les compteurs de performances ATA fournissent des informations sur le fonctionnement de chaque composant d’ATA. Les composants d'ATA traitent les données de manière séquentielle, de sorte qu'en cas de problème, il se peut que le trafic soit partiellement interrompu quelque part dans la chaîne des composants. Pour résoudre le problème, vous devez déterminer quel composant est réappajustement et résoudre le problème au début de la chaîne. Utilisez les données trouvées dans les compteurs de performances pour comprendre le fonctionnement de chaque composant. Reportez-vous à l’architecture ATA pour comprendre le flux des composants ATA internes.
Processus de composant ATA :
Lorsqu’un composant atteint sa taille maximale, il empêche le composant précédent d’envoyer d’autres entités à celui-ci.
Ensuite, finalement, le composant précédent commence à augmenter sa propre taille jusqu’à ce qu’il bloque le composant avant lui, d’envoyer plus d’entités.
Cela se produit tout le chemin vers le composant NetworkListener, qui supprime le trafic lorsqu’il ne peut plus transférer d’entités.
Récupération des fichiers de l’analyseur de performances pour la résolution des problèmes
Pour récupérer les fichiers de l’analyseur de performances (BLG) à partir des différents composants ATA :
- Ouvrez perfmon.
- Arrêtez l’ensemble de collecteurs de données nommé : Passerelle Microsoft ATA ou Centre Microsoft ATA.
- Accédez au dossier de l’ensemble de collecteurs de données (par défaut, il s’agit de « C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets » ou « C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets »).
- Copiez le fichier BLG récemment modifié.
- Redémarrez l’ensemble de collecteurs de données nommé : Passerelle Microsoft ATA ou Centre Microsoft ATA.
Compteurs de performances de la passerelle ATA
Dans cette section, chaque référence à la passerelle ATA fait également référence à la passerelle ATA Lightweight.
Vous pouvez observer l'état des performances en temps réel de la passerelle ATA en ajoutant les compteurs de performances de la passerelle ATA. Pour ce faire, ouvrez Analyseur de performances et ajoutez tous les compteurs pour la passerelle ATA. Le nom de l’objet compteur de performances est : Passerelle Microsoft ATA.
Voici la liste des principaux compteurs de passerelle ATA pour prêter attention aux éléments suivants :
| Compteur | Description | Seuil | Dépannage |
|---|---|---|---|
| Passerelle Microsoft ATA\NetworkListener PEF Parsed Messages\Sec | Quantité de trafic en cours de traitement par la passerelle ATA toutes les secondes. | Aucun seuil | Vous aide à comprendre la quantité de trafic analysée par la passerelle ATA. |
| Événements supprimés PAR NetworkListener\Sec | La quantité de trafic supprimée par la passerelle ATA toutes les secondes. | Ce nombre doit être égal à zéro tout le temps (rares rafales courtes de gouttes sont acceptables). | Vérifiez s’il existe un composant qui a atteint sa taille maximale et bloque les composants précédents jusqu’à NetworkListener. Reportez-vous au processus de composant ATA ci-dessus. Vérifiez qu’il n’y a aucun problème avec l’UC ou la mémoire. |
| Passerelle Microsoft ATA\NetworkListener ETW Événements supprimés\Sec | La quantité de trafic supprimée par la passerelle ATA toutes les secondes. | Ce nombre doit être égal à zéro tout le temps (rares rafales courtes de gouttes sont acceptables). | Vérifiez s’il existe un composant qui a atteint sa taille maximale et bloque les composants précédents jusqu’à NetworkListener. Reportez-vous au processus de composant ATA ci-dessus. Vérifiez qu’il n’y a aucun problème avec l’UC ou la mémoire. |
| Passerelle Microsoft ATA\NetworkActivity Traducteur Données de message # Taille de bloc | Quantité de trafic en file d'attente pour traduction vers des activités du réseau (NA). | Doit être inférieur au maximum à 1 (maximum par défaut : 100 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et bloque les composants précédents jusqu’à NetworkListener. Reportez-vous au processus de composant ATA ci-dessus. Vérifiez qu’il n’y a aucun problème avec l’UC ou la mémoire. |
| Microsoft ATA Gateway\EntityResolver Activity Block Size | Nombre d’activités du réseau (NA) en attente de résolution. | Doit être inférieur au maximum à 1 (maximum par défaut : 10 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et bloque les composants précédents jusqu’à NetworkListener. Reportez-vous au processus de composant ATA ci-dessus. Vérifiez qu’il n’y a aucun problème avec l’UC ou la mémoire. |
| Microsoft ATA Gateway\EntitySender Entity Batch Block Size | Nombre d'activités de réseau (NA) en attente d'envoi au Centre ATA. | Doit être inférieur au maximum à 1 (maximum par défaut : 1 000 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et bloque les composants précédents jusqu’à NetworkListener. Reportez-vous au processus de composant ATA ci-dessus. Vérifiez qu’il n’y a aucun problème avec l’UC ou la mémoire. |
| Microsoft ATA Gateway\EntitySender Batch Send Time | Temps nécessaire pour envoyer le dernier lot. | Doit être inférieur à 1 000 millisecondes la plupart du temps | Vérifiez s’il existe des problèmes réseau entre la passerelle ATA et le Centre ATA. |
Remarque
- Les compteurs chronométrés sont en millisecondes.
- Il est parfois plus pratique de surveiller la liste complète des compteurs à l’aide du type de graphique Rapport (exemple : surveillance en temps réel de tous les compteurs)
Compteurs de performances de passerelle légère ATA
Les compteurs de performances peuvent être utilisés pour la gestion des quotas dans la passerelle légère, pour vous assurer qu’ATA ne draine pas trop de ressources à partir des contrôleurs de domaine sur lesquels il est installé. Pour mesurer les limitations des ressources appliquées par ATA sur la passerelle légère, ajoutez ces compteurs.
Pour ce faire, ouvrez Analyseur de performances et ajoutez tous les compteurs pour la passerelle ATA Lightweight. Les noms des objets de compteur de performances sont : Passerelle Microsoft ATA et Microsoft ATA Gateway Updater.
| Compteur | Description | Seuil | Dépannage |
|---|---|---|---|
| Passerelle Microsoft ATA Updater\GatewayUpdaterResourceManager Temps d'UC Max % | La quantité maximale de temps UC (en pourcentage) que le processus de passerelle légère peut consommer. | Aucun seuil. | Il s’agit de la limitation qui protège les ressources du contrôleur de domaine contre l’utilisation de la passerelle ATA Lightweight. Si vous voyez que le processus atteint la limite maximale souvent sur une période de temps (le processus atteint la limite, puis commence à supprimer le trafic), cela signifie que vous devez ajouter d’autres ressources au serveur exécutant le contrôleur de domaine.. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Commit Memory Max Size | Quantité maximale de mémoire validée (en octets) que le processus de passerelle légère peut consommer. | Aucun seuil. | Il s’agit de la limitation qui protège les ressources du contrôleur de domaine contre l’utilisation de la passerelle ATA Lightweight. Si vous voyez que le processus atteint la limite maximale souvent sur une période de temps (le processus atteint la limite, puis commence à supprimer le trafic), cela signifie que vous devez ajouter d’autres ressources au serveur exécutant le contrôleur de domaine. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Working Set Limit Size | Quantité maximale de mémoire physique (en octets) que le processus de passerelle légère peut consommer. | Aucun seuil. | Il s’agit de la limitation qui protège les ressources du contrôleur de domaine contre l’utilisation de la passerelle ATA Lightweight. Si vous voyez que le processus atteint la limite maximale souvent sur une période de temps (le processus atteint la limite, puis commence à supprimer le trafic), cela signifie que vous devez ajouter d’autres ressources au serveur exécutant le contrôleur de domaine. |
Pour voir votre consommation réelle, reportez-vous aux compteurs suivants :
| Compteur | Description | Seuil | Dépannage |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Temps processeur | La quantité de temps UC (en pourcentage) que le processus de passerelle légère consomme réellement. | Aucun seuil. | Comparez les résultats de ce compteur à la limite trouvée dans GatewayUpdaterResourceManager Temps d'UC Max %. Si vous constatez que le processus atteint la limite maximale souvent sur une période de temps (le processus atteint la limite, puis commence à supprimer le trafic), cela signifie que vous devez dédier d’autres ressources à la passerelle légère. |
| Process(Microsoft.Tri.Gateway)\Octets privés | Quantité de mémoire validée (en octets) que le processus de passerelle légère consomme réellement. | Aucun seuil. | Comparez les résultats de ce compteur à la limite trouvée dans GatewayUpdaterResourceManager Commit Memory Max Size. Si vous constatez que le processus atteint la limite maximale souvent sur une période de temps (le processus atteint la limite, puis commence à supprimer le trafic), cela signifie que vous devez dédier d’autres ressources à la passerelle légère. |
| Process(Microsoft.Tri.Gateway)\Working Set | Quantité de mémoire physique (en octets) que le processus de passerelle légère consomme réellement. | Aucun seuil. | Comparez les résultats de ce compteur à la limite trouvée dans GatewayUpdaterResourceManager Working Set Limit Size. Si vous constatez que le processus atteint la limite maximale souvent sur une période de temps (le processus atteint la limite, puis commence à supprimer le trafic), cela signifie que vous devez dédier d’autres ressources à la passerelle légère. |
Compteurs de performances du Centre ATA
Vous pouvez observer l’état des performances en temps réel du Centre ATA en ajoutant les compteurs de performances du Centre ATA.
Pour ce faire, ouvrez Analyseur de performances et ajoutez tous les compteurs pour le Centre ATA. Le nom de l’objet compteur de performances est : Centre Microsoft ATA.
Voici la liste des principaux compteurs du Centre ATA pour prêter attention aux éléments suivants :
| Compteur | Description | Seuil | Dépannage |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | Nombre de lots d’entités mis en file d’attente par le Centre ATA. | Doit être inférieur au maximum à 1 (maximum par défaut : 10 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et bloque les composants précédents jusqu’à NetworkListener. Reportez-vous au processus de composant ATA précédent. Vérifiez qu’il n’y a aucun problème avec l’UC ou la mémoire. |
| Taille du bloc d’activité réseau Microsoft ATA Center\NetworkActivityProcessor | Nombre d’activités du réseau (NA) en attente de traitement. | Doit être inférieur au maximum à 1 (maximum par défaut : 50 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et bloque les composants précédents jusqu’à NetworkListener. Reportez-vous au processus de composant ATA précédent. Vérifiez qu’il n’y a aucun problème avec l’UC ou la mémoire. |
| Taille du bloc d’activité réseau Microsoft ATA Center\EntityProfiler | Nombre d’activités du réseau (NA) en attente de profilage. | Doit être inférieur au maximum à 1 (maximum par défaut : 100 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et bloque les composants précédents jusqu’à NetworkListener. Reportez-vous au processus de composant ATA précédent. Vérifiez qu’il n’y a aucun problème avec l’UC ou la mémoire. |
| Microsoft ATA Center\Database * Taille de bloc | Nombre d’activités réseau, d’un type spécifique, en attente d'écriture dans la base de données. | Doit être inférieur au maximum à 1 (maximum par défaut : 50 000) | Vérifiez s’il existe un composant qui a atteint sa taille maximale et bloque les composants précédents jusqu’à NetworkListener. Reportez-vous au processus de composant ATA précédent. Vérifiez qu’il n’y a aucun problème avec l’UC ou la mémoire. |
Remarque
- Les compteurs chronométrés sont en millisecondes
- Il est parfois plus pratique de surveiller la liste complète des compteurs à l’aide du type de graphique pour le rapport (par exemple : surveillance en temps réel de tous les compteurs).
Compteurs du système d’exploitation
Le tableau suivant répertorie les principaux compteurs du système d’exploitation pour prêter attention aux éléments suivants :
| Compteur | Description | Seuil | Dépannage |
|---|---|---|---|
| Processor(_Total) % de temps de processeur | Durée (en pourcentage) que le processeur met pour exécuter des threads actifs. | Moins de 80 % en moyenne | Vérifiez s'il y a un processus spécifique qui prend beaucoup plus de temps au processeur qu'il ne le devrait. Ajoutez plus de processeurs. Réduisez la quantité de trafic par serveur. Le compteur « Processor(_Total)% de temps processeur » peut être moins précis sur les serveurs virtuels, auquel cas le moyen le plus précis de mesurer l’absence de puissance du processeur est via le compteur « Longueur de file d'attente du processeur système\processeur ». |
| System\Context Switches/sec | Taux combiné auquel tous les processeurs sont basculés d’un thread à un autre. | Moins de 5 000*cœurs (cœurs physiques) | Vérifiez s'il y a un processus spécifique qui prend beaucoup plus de temps au processeur qu'il ne le devrait. Ajoutez plus de processeurs. Réduisez la quantité de trafic par serveur. Le compteur « Processor(_Total)% de temps processeur » peut être moins précis sur les serveurs virtuels, auquel cas le moyen le plus précis de mesurer l’absence de puissance du processeur est via le compteur « Longueur de file d'attente du processeur système\processeur ». |
| Système\Longueur de la file du processeur | Nombre de threads prêts à s’exécuter et qui attendent d’être planifiés. | Moins de cinq*cœurs (cœurs physiques) | Vérifiez s'il y a un processus spécifique qui prend beaucoup plus de temps au processeur qu'il ne le devrait. Ajoutez plus de processeurs. Réduisez la quantité de trafic par serveur. Le compteur « Processor(_Total)% de temps processeur » peut être moins précis sur les serveurs virtuels, auquel cas le moyen le plus précis de mesurer l’absence de puissance du processeur est via le compteur « Longueur de file d'attente du processeur système\processeur ». |
| Memory\Available MBytes | Quantité de mémoire physique (RAM) disponible pour l'allocation. | Doit être supérieur à 512 | Vérifier si un processus spécifique occupe beaucoup plus de mémoire physique qu'il ne le devrait. Augmenter la quantité de mémoire physique. Réduisez la quantité de trafic par serveur. |
| LogicalDisk(*)\Avg. Disk sec\Read | Latence moyenne pour la lecture des données à partir du disque (vous devez choisir le lecteur de base de données comme instance). | Doit être inférieur à 10 millisecondes | Vérifiez s’il existe un processus spécifique qui utilise le lecteur de base de données plus qu’il ne le doit. Consulter votre équipe/fournisseur de stockage si ce lecteur peut fournir la charge de travail actuelle tout en ayant moins de 10 ms de latence. La charge de travail actuelle peut être déterminée à l’aide des compteurs d’utilisation du disque. |
| LogicalDisk(*)\Avg. Disk sec\Write | Latence moyenne pour l’écriture de données sur le disque (vous devez choisir le lecteur de base de données comme instance). | Doit être inférieur à 10 millisecondes | Vérifiez s’il existe un processus spécifique qui utilise le lecteur de base de données plus qu’il ne le doit. Consulter votre équipe de stockage\fournisseur si ce lecteur peut fournir la charge de travail actuelle tout en ayant moins de 10 ms de latence. La charge de travail actuelle peut être déterminée à l’aide des compteurs d’utilisation du disque. |
| \LogicalDisk(*)\Disk Reads\sec | Taux d’exécution d’opérations de lecture sur le disque. | Aucun seuil | Les compteurs d'utilisation des disques peuvent vous aider lors du dépannage des problèmes de latence du stockage. |
| \LogicalDisk(*)\Disk Read Bytes\sec | Nombre d'octets par seconde lus par le disque. | Aucun seuil | Les compteurs d'utilisation des disques peuvent vous aider lors du dépannage des problèmes de latence du stockage. |
| \LogicalDisk*\Disk Writes\sec | Taux d'exécution des opérations d'écriture sur le disque. | Aucun seuil | Compteurs d'utilisation des disques (peuvent apporter des aperçus lors du dépannage de la latence du stockage) |
| \LogicalDisk(*)\Disk Write Bytes\sec | Le nombre d'octets par seconde qui sont écrits sur le disque. | Aucun seuil | Les compteurs d'utilisation des disques peuvent vous aider lors du dépannage des problèmes de latence du stockage. |