Pemecahan masalah ATA menggunakan penghitung kinerja
Berlaku untuk: Analitik Ancaman Tingkat Lanjut versi 1.9
Penghitung kinerja ATA memberikan wawasan tentang seberapa baik performa setiap komponen ATA. Komponen dalam ATA memproses data secara berurutan, sehingga ketika ada masalah, itu dapat menyebabkan lalu lintas yang dijatuhkan sebagian di suatu tempat di sepanjang rantai komponen. Untuk memperbaiki masalah, Anda harus mencari tahu komponen mana yang menjadi pengurukan dan memperbaiki masalah di awal rantai. Gunakan data yang ditemukan di penghitung kinerja untuk memahami bagaimana setiap komponen berfungsi. Lihat arsitektur ATA untuk memahami alur komponen ATA internal.
Proses komponen ATA:
Ketika komponen mencapai ukuran maksimumnya, komponen sebelumnya memblokir pengiriman lebih banyak entitas ke komponen tersebut.
Kemudian, akhirnya komponen sebelumnya akan mulai meningkatkan ukurannya sendiri sampai memblokir komponen sebelum itu, agar tidak mengirim lebih banyak entitas.
Ini terjadi sepanjang jalan kembali ke komponen NetworkListener, yang akan menghilangkan lalu lintas ketika tidak dapat lagi meneruskan entitas.
Mengambil file monitor performa untuk pemecahan masalah
Untuk mengambil file monitor performa (BLG) dari berbagai komponen ATA:
- Buka perfmon.
- Hentikan kumpulan pengumpul data bernama: Microsoft ATA Gateway atau Microsoft ATA Center.
- Buka folder kumpulan pengumpul data (secara default, ini adalah "C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" atau "C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Salin file BLG yang baru-baru ini dimodifikasi.
- Mulai ulang kumpulan pengumpul data bernama: Microsoft ATA Gateway atau Microsoft ATA Center.
Penghitung kinerja Gateway ATA
Di bagian ini, setiap referensi ke ATA Gateway merujuk juga ke Gateway Ringan ATA.
Anda dapat mengamati status performa real-time Gateway ATA dengan menambahkan penghitung kinerja Gateway ATA. Ini dilakukan dengan membuka Monitor Performa dan menambahkan semua penghitung untuk Gateway ATA. Nama objek penghitung kinerja adalah: Microsoft ATA Gateway.
Berikut adalah daftar penghitung Gateway ATA utama untuk diperhatikan:
| Penghitung | Deskripsi | Ambang | Pemecahan Masalah |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF Parsed Messages\Sec | Jumlah lalu lintas yang diproses oleh Gateway ATA setiap detik. | Tidak ada ambang batas | Membantu Anda memahami jumlah lalu lintas yang sedang diurai oleh Gateway ATA. |
| NetworkListener PEF Dropped Events\Sec | Jumlah lalu lintas yang dijatuhkan oleh Gateway ATA setiap detik. | Angka ini harus nol sepanjang waktu (ledakan pendek tetes yang jarang diterima). | Periksa apakah ada komponen yang mencapai ukuran maksimumnya dan memblokir komponen sebelumnya sepanjang jalan ke NetworkListener. Lihat Proses Komponen ATA di atas. Periksa apakah tidak ada masalah dengan CPU atau memori. |
| Microsoft ATA Gateway\NetworkListener ETW Dropped Events\Sec | Jumlah lalu lintas yang dijatuhkan oleh Gateway ATA setiap detik. | Angka ini harus nol sepanjang waktu (ledakan pendek tetes yang jarang diterima). | Periksa apakah ada komponen yang mencapai ukuran maksimumnya dan memblokir komponen sebelumnya sepanjang jalan ke NetworkListener. Lihat Proses Komponen ATA di atas. Periksa apakah tidak ada masalah dengan CPU atau memori. |
| Microsoft ATA Gateway\NetworkActivity Penerjemah Data Pesan # Ukuran Blok | Jumlah lalu lintas yang diantrekan untuk diterjemahkan ke Aktivitas Jaringan (NAs). | Harus kurang dari maksimum-1 (maksimum default: 100.000) | Periksa apakah ada komponen yang mencapai ukuran maksimumnya dan memblokir komponen sebelumnya sepanjang jalan ke NetworkListener. Lihat Proses Komponen ATA di atas. Periksa apakah tidak ada masalah dengan CPU atau memori. |
| Ukuran Blok Aktivitas Microsoft ATA Gateway\EntityResolver | Jumlah Aktivitas Jaringan (NAs) yang diantrekan untuk resolusi. | Harus kurang dari maksimum-1 (maksimum default: 10.000) | Periksa apakah ada komponen yang mencapai ukuran maksimumnya dan memblokir komponen sebelumnya sepanjang jalan ke NetworkListener. Lihat Proses Komponen ATA di atas. Periksa apakah tidak ada masalah dengan CPU atau memori. |
| Ukuran Blok Batch Entitas Microsoft ATA Gateway\EntitySender | Jumlah Aktivitas Jaringan (NAs) yang diantrekan untuk dikirim ke Pusat ATA. | Harus kurang dari maksimum-1 (maksimum default: 1.000.000) | Periksa apakah ada komponen yang mencapai ukuran maksimumnya dan memblokir komponen sebelumnya sepanjang jalan ke NetworkListener. Lihat Proses Komponen ATA di atas. Periksa apakah tidak ada masalah dengan CPU atau memori. |
| Waktu Pengiriman Batch Microsoft ATA Gateway\EntitySender | Jumlah waktu yang diperlukan untuk mengirim batch terakhir. | Harus kurang dari 1000 milidetik sebagian besar waktu | Periksa apakah ada masalah jaringan antara Gateway ATA dan Pusat ATA. |
Catatan
- Penghitung waktu dalam milidetik.
- Terkadang lebih nyaman untuk memantau daftar lengkap penghitung dengan menggunakan jenis grafik Laporan (misalnya: pemantauan real-time semua penghitung)
Penghitung kinerja Gateway Ringan ATA
Penghitung kinerja dapat digunakan untuk manajemen kuota di Lightweight Gateway, untuk memastikan bahwa ATA tidak menguras terlalu banyak sumber daya dari pengendali domain tempat pengontrol domain diinstal. Untuk mengukur batasan sumber daya yang diterapkan ATA pada Gateway Ringan, tambahkan penghitung ini.
Ini dilakukan dengan membuka Monitor Performa dan menambahkan semua penghitung untuk Gateway Ringan ATA. Nama objek penghitung kinerja adalah: Microsoft ATA Gateway dan Microsoft ATA Gateway Updater.
| Penghitung | Deskripsi | Ambang | Pemecahan Masalah |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU Time Max % | Jumlah maksimum waktu CPU (dalam persentase) yang dapat dikonsumsi oleh proses Gateway Ringan. | Tidak ada ambang batas. | Ini adalah batasan yang melindungi sumber daya pengendali domain agar tidak digunakan oleh Gateway Ringan ATA. Jika Anda melihat bahwa proses mencapai batas maksimum sering kali dalam jangka waktu tertentu (proses mencapai batas dan kemudian mulai menghilangkan lalu lintas) itu berarti Anda perlu menambahkan lebih banyak sumber daya ke server yang menjalankan pengontrol domain.. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Menerapkan Ukuran Maksimum Memori | Jumlah maksimum memori yang diterapkan (dalam byte) yang dapat dikonsumsi oleh proses Gateway Ringan. | Tidak ada ambang batas. | Ini adalah batasan yang melindungi sumber daya pengendali domain agar tidak digunakan oleh Gateway Ringan ATA. Jika Anda melihat bahwa proses mencapai batas maksimum sering kali dalam jangka waktu tertentu (proses mencapai batas lalu lintas mulai menjatuhkan) itu berarti Anda perlu menambahkan lebih banyak sumber daya ke server yang menjalankan pengendali domain. |
| Ukuran Batas Set Kerja Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager | Jumlah maksimum memori fisik (dalam byte) yang dapat dikonsumsi oleh proses Gateway Ringan. | Tidak ada ambang batas. | Ini adalah batasan yang melindungi sumber daya pengendali domain agar tidak digunakan oleh Gateway Ringan ATA. Jika Anda melihat bahwa proses mencapai batas maksimum sering kali dalam jangka waktu tertentu (proses mencapai batas lalu lintas mulai menjatuhkan) itu berarti Anda perlu menambahkan lebih banyak sumber daya ke server yang menjalankan pengendali domain. |
Untuk melihat konsumsi aktual Anda, lihat penghitung berikut:
| Penghitung | Deskripsi | Ambang | Pemecahan Masalah |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Processor Time | Jumlah waktu CPU (dalam persentase) yang sebenarnya dikonsumsi proses Gateway Ringan. | Tidak ada ambang batas. | Bandingkan hasil penghitung ini dengan batas yang ditemukan di GatewayUpdaterResourceManager CPU Time Max %. Jika Anda melihat bahwa proses mencapai batas maksimum sering kali dalam jangka waktu tertentu (proses mencapai batas dan kemudian mulai menghilangkan lalu lintas) itu berarti Anda perlu mendedikasikan lebih banyak sumber daya ke Gateway Ringan. |
| Process(Microsoft.Tri.Gateway)\Byte Privat | Jumlah memori yang diterapkan (dalam byte) yang sebenarnya dikonsumsi proses Gateway Ringan. | Tidak ada ambang batas. | Bandingkan hasil penghitung ini dengan batas yang ditemukan di GatewayUpdaterResourceManager Commit Memory Max Size. Jika Anda melihat bahwa proses mencapai batas maksimum sering kali dalam jangka waktu tertentu (proses mencapai batas dan kemudian mulai menghilangkan lalu lintas) itu berarti Anda perlu mendedikasikan lebih banyak sumber daya ke Gateway Ringan. |
| Process(Microsoft.Tri.Gateway)\Working Set | Jumlah memori fisik (dalam byte) yang sebenarnya dikonsumsi proses Gateway Ringan. | Tidak ada ambang batas. | Bandingkan hasil penghitung ini dengan batas yang ditemukan di GatewayUpdaterResourceManager Working Set Limit Size. Jika Anda melihat bahwa proses mencapai batas maksimum sering kali dalam jangka waktu tertentu (proses mencapai batas dan kemudian mulai menghilangkan lalu lintas) itu berarti Anda perlu mendedikasikan lebih banyak sumber daya ke Gateway Ringan. |
Penghitung kinerja Pusat ATA
Anda dapat mengamati status performa real-time ATA Center dengan menambahkan penghitung kinerja Pusat ATA.
Ini dilakukan dengan membuka Monitor Performa dan menambahkan semua penghitung untuk Pusat ATA. Nama objek penghitung kinerja adalah: Pusat Microsoft ATA.
Berikut adalah daftar penghitung Pusat ATA utama untuk memperhatikan:
| Penghitung | Deskripsi | Ambang | Pemecahan Masalah |
|---|---|---|---|
| Ukuran Blok Batch Entitas Microsoft ATA Center\EntityReceiver | Jumlah batch entitas yang diantrekan oleh Pusat ATA. | Harus kurang dari maksimum-1 (maksimum default: 10.000) | Periksa apakah ada komponen yang mencapai ukuran maksimumnya dan memblokir komponen sebelumnya sepanjang jalan ke NetworkListener. Lihat Proses Komponen ATA sebelumnya. Periksa apakah tidak ada masalah dengan CPU atau memori. |
| Ukuran Blok Aktivitas Jaringan Microsoft ATA Center\NetworkActivityProcessor | Jumlah Aktivitas Jaringan (NAs) yang diantrekan untuk diproses. | Harus kurang dari maksimum-1 (maksimum default: 50.000) | Periksa apakah ada komponen yang mencapai ukuran maksimumnya dan memblokir komponen sebelumnya sepanjang jalan ke NetworkListener. Lihat Proses Komponen ATA sebelumnya. Periksa apakah tidak ada masalah dengan CPU atau memori. |
| Ukuran Blok Aktivitas Jaringan Microsoft ATA Center\EntityProfiler | Jumlah Aktivitas Jaringan (NAs) yang diantrekan untuk pembuatan profil. | Harus kurang dari maksimum-1 (maksimum default: 100.000) | Periksa apakah ada komponen yang mencapai ukuran maksimumnya dan memblokir komponen sebelumnya sepanjang jalan ke NetworkListener. Lihat Proses Komponen ATA sebelumnya. Periksa apakah tidak ada masalah dengan CPU atau memori. |
| Microsoft ATA Center\Database * Ukuran Blok | Jumlah Aktivitas Jaringan, dari jenis tertentu, diantrekan untuk ditulis ke database. | Harus kurang dari maksimum-1 (maksimum default: 50.000) | Periksa apakah ada komponen yang mencapai ukuran maksimumnya dan memblokir komponen sebelumnya sepanjang jalan ke NetworkListener. Lihat Proses Komponen ATA sebelumnya. Periksa apakah tidak ada masalah dengan CPU atau memori. |
Catatan
- Penghitung waktu dalam milidetik
- Terkadang lebih nyaman untuk memantau daftar lengkap penghitung menggunakan jenis grafik untuk Laporan (misalnya: pemantauan real time semua penghitung).
Penghitung sistem operasi
Tabel berikut mencantumkan penghitung sistem operasi utama untuk diperhatikan:
| Penghitung | Deskripsi | Ambang | Pemecahan Masalah |
|---|---|---|---|
| Processor(_Total)% Waktu Prosesor | Persentase waktu yang berlalu yang digunakan oleh prosesor untuk menjalankan alur non-Siaga. | Rata-rata kurang dari 80% | Periksa apakah ada proses tertentu yang membutuhkan lebih banyak waktu prosesor daripada yang seharusnya. Tambahkan lebih banyak prosesor. Kurangi jumlah lalu lintas per server. Penghitung "Prosesor(_Total)% Waktu Prosesor" mungkin kurang akurat di server virtual, dalam hal ini cara yang lebih akurat untuk mengukur kurangnya daya prosesor adalah melalui penghitung "System\Processor Queue Length". |
| System\Context Switches\sec | Laju gabungan di mana semua prosesor dialihkan dari satu utas ke utas lainnya. | Kurang dari 5000*core (core fisik) | Periksa apakah ada proses tertentu yang membutuhkan lebih banyak waktu prosesor daripada yang seharusnya. Tambahkan lebih banyak prosesor. Kurangi jumlah lalu lintas per server. Penghitung "Prosesor(_Total)% Waktu Prosesor" mungkin kurang akurat di server virtual, dalam hal ini cara yang lebih akurat untuk mengukur kurangnya daya prosesor adalah melalui penghitung "System\Processor Queue Length". |
| System\Panjang Antrean Prosesor | Jumlah utas yang siap dijalankan dan menunggu untuk dijadwalkan. | Kurang dari lima*core (inti fisik) | Periksa apakah ada proses tertentu yang membutuhkan lebih banyak waktu prosesor daripada yang seharusnya. Tambahkan lebih banyak prosesor. Kurangi jumlah lalu lintas per server. Penghitung "Prosesor(_Total)% Waktu Prosesor" mungkin kurang akurat di server virtual, dalam hal ini cara yang lebih akurat untuk mengukur kurangnya daya prosesor adalah melalui penghitung "System\Processor Queue Length". |
| Memori\MByte Tersedia | Jumlah memori fisik (RAM) yang tersedia untuk alokasi. | Harus lebih dari 512 | Periksa apakah ada proses khusus yang mengambil lebih banyak memori fisik daripada yang seharusnya. Tingkatkan jumlah memori fisik. Kurangi jumlah lalu lintas per server. |
| LogicalDisk(*)\Rata-rata. Disk sec\Read | Latensi rata-rata untuk membaca data dari disk (Anda harus memilih drive database sebagai instans). | Harus kurang dari 10 milidetik | Periksa apakah ada proses tertentu yang menggunakan drive database lebih dari yang seharusnya. Konsultasikan dengan tim/vendor penyimpanan Anda jika drive ini dapat mengirimkan beban kerja saat ini sambil memiliki latensi kurang dari 10 mdtk. Beban kerja saat ini dapat ditentukan dengan menggunakan penghitung pemanfaatan disk. |
| LogicalDisk(*)\Rata-rata. Disk sec\Write | Latensi rata-rata untuk menulis data ke disk (Anda harus memilih drive database sebagai instans). | Harus kurang dari 10 milidetik | Periksa apakah ada proses tertentu yang menggunakan drive database lebih dari yang seharusnya. Konsultasikan dengan tim penyimpanan Anda\vendor jika drive ini dapat mengirimkan beban kerja saat ini sambil memiliki latensi kurang dari 10 md. Beban kerja saat ini dapat ditentukan dengan menggunakan penghitung pemanfaatan disk. |
| \LogicalDisk(*)\Disk Reads\sec | Tingkat melakukan operasi baca ke disk. | Tidak ada ambang batas | Penghitung pemanfaatan disk dapat menambahkan wawasan saat memecahkan masalah latensi penyimpanan. |
| \LogicalDisk(*)\Byte Baca Disk\dtk | Jumlah byte per detik yang sedang dibaca dari disk. | Tidak ada ambang batas | Penghitung pemanfaatan disk dapat menambahkan wawasan saat memecahkan masalah latensi penyimpanan. |
| \LogicalDisk*\Disk Writes\sec | Tingkat melakukan operasi tulis ke disk. | Tidak ada ambang batas | Penghitung pemanfaatan disk (dapat menambahkan wawasan saat memecahkan masalah latensi penyimpanan) |
| \LogicalDisk(*)\Byte Tulis Disk\dtk | Jumlah byte per detik yang sedang ditulis ke disk. | Tidak ada ambang batas | Penghitung pemanfaatan disk dapat menambahkan wawasan saat memecahkan masalah latensi penyimpanan. |