Risoluzione dei problemi di ATA tramite i contatori delle prestazioni
Si applica a: Advanced Threat Analytics versione 1.9
I contatori delle prestazioni ATA forniscono informazioni dettagliate sulle prestazioni di ogni componente di ATA. I componenti in ATA elaborano i dati in sequenza, in modo che, quando si verifica un problema, potrebbero causare un traffico parziale eliminato in un punto qualsiasi lungo la catena di componenti. Per risolvere il problema, è necessario capire quale componente è di backfiring e risolvere il problema all'inizio della catena. Usare i dati trovati nei contatori delle prestazioni per comprendere il funzionamento di ogni componente. Fare riferimento all'architettura ATA per comprendere il flusso dei componenti ATA interni.
Processo del componente ATA:
Quando un componente raggiunge le dimensioni massime, impedisce al componente precedente di inviare più entità.
Infine, il componente precedente inizierà ad aumentare le proprie dimensioni fino a quando non blocca il componente prima di esso, dall'invio di più entità.
Questo avviene fino al componente NetworkListener, che rilascia il traffico quando non può più inoltrare le entità.
Recupero dei file di monitoraggio delle prestazioni per la risoluzione dei problemi
Per recuperare i file BLG (Performance Monitor) dai vari componenti ATA:
- Aprire perfmon.
- Arrestare il set di agenti di raccolta dati denominato Microsoft ATA Gateway o Microsoft ATA Center.
- Passare alla cartella del set di agenti di raccolta dati (per impostazione predefinita, si tratta di "C:\Programmi\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" o "C:\Programmi\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Copiare il file BLG modificato più di recente.
- Riavviare il set di agenti di raccolta dati denominato Microsoft ATA Gateway o Microsoft ATA Center.
Contatori delle prestazioni del gateway ATA
In questa sezione ogni riferimento al gateway ATA fa riferimento anche al gateway ATA Lightweight.
È possibile osservare lo stato delle prestazioni in tempo reale del gateway ATA aggiungendo i contatori delle prestazioni del gateway ATA. Questa operazione viene eseguita aprendo Monitor prestazioni e aggiungendo tutti i contatori per il gateway ATA. Il nome dell'oggetto contatore delle prestazioni è Microsoft ATA Gateway.
Di seguito è riportato l'elenco dei principali contatori del gateway ATA a cui prestare attenzione:
| Contatore | Descrizione | Threshold | Risoluzione dei problemi |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF Parsed Messages\Sec | Quantità di traffico elaborata dal gateway ATA ogni secondo. | Nessuna soglia | Consente di comprendere la quantità di traffico analizzato dal gateway ATA. |
| Eventi pef eliminati da NetworkListener\Sec | Quantità di traffico eliminata dal gateway ATA ogni secondo. | Questo numero deve essere zero tutto il tempo (rari brevi picchi di gocce sono accettabili). | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo componente ATA precedente. Verificare che non ci siano problemi con la CPU o la memoria. |
| Microsoft ATA Gateway\NetworkListener ETW Dropped Events\Sec | Quantità di traffico eliminata dal gateway ATA ogni secondo. | Questo numero deve essere zero tutto il tempo (rari brevi picchi di gocce sono accettabili). | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo componente ATA precedente. Verificare che non ci siano problemi con la CPU o la memoria. |
| Microsoft ATA Gateway\NetworkActivity Traduttore Dimensioni dei messaggi # Dimensioni blocco | Quantità di traffico in coda per la conversione alle attività di rete. | Deve essere minore del valore massimo-1 (valore massimo predefinito: 100.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo componente ATA precedente. Verificare che non ci siano problemi con la CPU o la memoria. |
| Dimensioni del blocco attività Microsoft ATA Gateway\EntityResolver | Numero di attività di rete in coda per la risoluzione. | Deve essere minore del valore massimo-1 (valore massimo predefinito: 10.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo componente ATA precedente. Verificare che non ci siano problemi con la CPU o la memoria. |
| Microsoft ATA Gateway\EntitySender Entity Batch Block Size | Quantità di attività di rete (NA) in coda da inviare al Centro ATA. | Deve essere minore del valore massimo-1 (valore massimo predefinito: 1.000.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo componente ATA precedente. Verificare che non ci siano problemi con la CPU o la memoria. |
| Microsoft ATA Gateway\EntitySender Batch Send Time | Quantità di tempo impiegato per inviare l'ultimo batch. | La maggior parte dei millisecondi deve essere inferiore a 1000 millisecondi | Verificare se sono presenti problemi di rete tra il gateway ATA e ATA Center. |
Nota
- I contatori a tempo sono in millisecondi.
- A volte è più pratico monitorare l'elenco completo dei contatori usando il tipo di grafico Report (ad esempio: monitoraggio in tempo reale di tutti i contatori)
Contatori delle prestazioni del gateway ATA Lightweight
I contatori delle prestazioni possono essere usati per la gestione delle quote nel gateway Lightweight, per assicurarsi che ATA non svuota troppe risorse dai controller di dominio in cui è installato. Per misurare le limitazioni delle risorse applicate da ATA nel gateway Lightweight, aggiungere questi contatori.
Questa operazione viene eseguita aprendo Monitor prestazioni e aggiungendo tutti i contatori per il gateway ATA Lightweight. I nomi degli oggetti contatore delle prestazioni sono: Gateway Microsoft ATA e Microsoft ATA Gateway Updater.
| Contatore | Descrizione | Threshold | Risoluzione dei problemi |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU Time Max % | Quantità massima di tempo cpu (in percentuale) che il processo Lightweight Gateway può utilizzare. | Nessuna soglia. | Si tratta della limitazione che protegge le risorse del controller di dominio dall'uso da parte del gateway ATA Lightweight. Se si nota che il processo raggiunge spesso il limite massimo per un periodo di tempo (il processo raggiunge il limite e quindi inizia a eliminare il traffico), significa che è necessario aggiungere altre risorse al server che esegue il controller di dominio. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Commit Memory Max Size | Quantità massima di memoria di cui è stato eseguito il commit (in byte) che il processo Lightweight Gateway può utilizzare. | Nessuna soglia. | Si tratta della limitazione che protegge le risorse del controller di dominio dall'uso da parte del gateway ATA Lightweight. Se si nota che il processo raggiunge spesso il limite massimo in un periodo di tempo (il processo raggiunge il limite e quindi inizia a eliminare il traffico), significa che è necessario aggiungere altre risorse al server che esegue il controller di dominio. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Working Set Limit Size | Quantità massima di memoria fisica (in byte) che il processo Lightweight Gateway può utilizzare. | Nessuna soglia. | Si tratta della limitazione che protegge le risorse del controller di dominio dall'uso da parte del gateway ATA Lightweight. Se si nota che il processo raggiunge spesso il limite massimo in un periodo di tempo (il processo raggiunge il limite e quindi inizia a eliminare il traffico), significa che è necessario aggiungere altre risorse al server che esegue il controller di dominio. |
Per visualizzare il consumo effettivo, fare riferimento ai contatori seguenti:
| Contatore | Descrizione | Threshold | Risoluzione dei problemi |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Processor Time | Quantità di tempo cpu (in percentuale) che il processo Lightweight Gateway sta effettivamente consumando. | Nessuna soglia. | Confrontare i risultati di questo contatore con il limite trovato in GatewayUpdaterResourceManager CPU Time Max %. Se si nota che il processo raggiunge spesso il limite massimo per un periodo di tempo (il processo raggiunge il limite e quindi inizia a eliminare il traffico), significa che è necessario dedicare più risorse al gateway Lightweight. |
| Process(Microsoft.Tri.Gateway)\Private Bytes | Quantità di memoria di cui è stato eseguito il commit (in byte) che il processo Lightweight Gateway sta effettivamente consumando. | Nessuna soglia. | Confrontare i risultati di questo contatore con il limite trovato in GatewayUpdaterResourceManager Commit Memory Max Size. Se si nota che il processo raggiunge spesso il limite massimo per un periodo di tempo (il processo raggiunge il limite e quindi inizia a eliminare il traffico), significa che è necessario dedicare più risorse al gateway Lightweight. |
| Process(Microsoft.Tri.Gateway)\Working Set | Quantità di memoria fisica (in byte) effettivamente utilizzata dal processo Lightweight Gateway. | Nessuna soglia. | Confrontare i risultati di questo contatore con il limite trovato in GatewayUpdaterResourceManager Working Set Limit Size (Dimensioni limite set di lavoro di GatewayUpdaterResourceManager). Se si nota che il processo raggiunge spesso il limite massimo per un periodo di tempo (il processo raggiunge il limite e quindi inizia a eliminare il traffico), significa che è necessario dedicare più risorse al gateway Lightweight. |
Contatori delle prestazioni di ATA Center
È possibile osservare lo stato delle prestazioni in tempo reale di ATA Center aggiungendo i contatori delle prestazioni di ATA Center.
Questa operazione viene eseguita aprendo Monitor prestazioni e aggiungendo tutti i contatori per ATA Center. Il nome dell'oggetto contatore delle prestazioni è Microsoft ATA Center.
Ecco l'elenco dei principali contatori di ATA Center a cui prestare attenzione:
| Contatore | Descrizione | Threshold | Risoluzione dei problemi |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | Numero di batch di entità accodati da ATA Center. | Deve essere minore del valore massimo-1 (valore massimo predefinito: 10.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo del componente ATA precedente. Verificare che non ci siano problemi con la CPU o la memoria. |
| Microsoft ATA Center\NetworkActivityProcessor Network Activity Block Size | Numero di attività di rete in coda per l'elaborazione. | Deve essere minore del valore massimo-1 (valore massimo predefinito: 50.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo del componente ATA precedente. Verificare che non ci siano problemi con la CPU o la memoria. |
| Microsoft ATA Center\EntityProfiler Network Activity Block Size | Numero di attività di rete in coda per la profilatura. | Deve essere minore del valore massimo-1 (valore massimo predefinito: 100.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo del componente ATA precedente. Verificare che non ci siano problemi con la CPU o la memoria. |
| Microsoft ATA Center\Database * Dimensioni blocco | Numero di attività di rete, di un tipo specifico, in coda da scrivere nel database. | Deve essere minore del valore massimo-1 (valore massimo predefinito: 50.000) | Controllare se è presente un componente che ha raggiunto le dimensioni massime e blocca i componenti precedenti fino a NetworkListener. Fare riferimento al processo del componente ATA precedente. Verificare che non ci siano problemi con la CPU o la memoria. |
Nota
- I contatori a tempo sono in millisecondi
- A volte è più pratico monitorare l'elenco completo dei contatori usando il tipo di grafo per Report (ad esempio: monitoraggio in tempo reale di tutti i contatori).
Contatori del sistema operativo
La tabella seguente elenca i principali contatori del sistema operativo a cui prestare attenzione:
| Contatore | Descrizione | Threshold | Risoluzione dei problemi |
|---|---|---|---|
| Processore(_Total)% tempo processore | Percentuale di tempo trascorso che il processore impiega per eseguire un thread non inattio. | Meno dell'80% in media | Controllare se è presente un processo specifico che richiede molto più tempo del processore di quanto dovrebbe. Aggiungere altri processori. Ridurre la quantità di traffico per server. Il contatore "Processore(_Total)% Tempo processore" può essere meno accurato nei server virtuali, nel qual caso il modo più accurato per misurare la mancanza di potenza del processore avviene tramite il contatore "System\Processor Queue Length". |
| Opzioni di sistema\contesto\sec | Velocità combinata in base alla quale tutti i processori vengono passati da un thread a un altro. | Meno di 5000*core (core fisici) | Controllare se è presente un processo specifico che richiede molto più tempo del processore di quanto dovrebbe. Aggiungere altri processori. Ridurre la quantità di traffico per server. Il contatore "Processore(_Total)% Tempo processore" può essere meno accurato nei server virtuali, nel qual caso il modo più accurato per misurare la mancanza di potenza del processore avviene tramite il contatore "System\Processor Queue Length". |
| Sistema\Lunghezza coda processore | Numero di thread pronti per l'esecuzione e in attesa di essere pianificati. | Meno di cinque*core (core fisici) | Controllare se è presente un processo specifico che richiede molto più tempo del processore di quanto dovrebbe. Aggiungere altri processori. Ridurre la quantità di traffico per server. Il contatore "Processore(_Total)% Tempo processore" può essere meno accurato nei server virtuali, nel qual caso il modo più accurato per misurare la mancanza di potenza del processore avviene tramite il contatore "System\Processor Queue Length". |
| Memoria\Byte disponibili | Quantità di memoria fisica (RAM) disponibile per l'allocazione. | Deve essere superiore a 512 | Controllare se è presente un processo specifico che richiede molto più memoria fisica di quanto dovrebbe. Aumentare la quantità di memoria fisica. Ridurre la quantità di traffico per server. |
| LogicalDisk(*)\Avg. Disk sec\Read | Latenza media per la lettura dei dati dal disco (è necessario scegliere l'unità di database come istanza). | Deve essere inferiore a 10 millisecondi | Controllare se è presente un processo specifico che utilizza l'unità di database più di quanto dovrebbe. Rivolgersi al team di archiviazione o al fornitore se questa unità può recapitare il carico di lavoro corrente con meno di 10 ms di latenza. Il carico di lavoro corrente può essere determinato usando i contatori di utilizzo del disco. |
| LogicalDisk(*)\Avg. Disk sec\Write | Latenza media per la scrittura di dati nel disco (è necessario scegliere l'unità di database come istanza). | Deve essere inferiore a 10 millisecondi | Controllare se è presente un processo specifico che utilizza l'unità di database più di quanto dovrebbe. Rivolgersi al team di archiviazione\fornitore se questa unità può recapitare il carico di lavoro corrente con meno di 10 ms di latenza. Il carico di lavoro corrente può essere determinato usando i contatori di utilizzo del disco. |
| \LogicalDisk(*)\Disk Reads\sec | Frequenza di esecuzione di operazioni di lettura sul disco. | Nessuna soglia | I contatori di utilizzo del disco possono aggiungere informazioni dettagliate durante la risoluzione dei problemi di latenza di archiviazione. |
| \LogicalDisk(*)\Disk Read Bytes\sec | Numero di byte al secondo letti dal disco. | Nessuna soglia | I contatori di utilizzo del disco possono aggiungere informazioni dettagliate durante la risoluzione dei problemi di latenza di archiviazione. |
| \LogicalDisk*\Scritture su disco\sec | Frequenza di esecuzione di operazioni di scrittura sul disco. | Nessuna soglia | Contatori di utilizzo del disco (possono aggiungere informazioni dettagliate durante la risoluzione dei problemi di latenza di archiviazione) |
| \LogicalDisk(*)\Disk Write Bytes\sec | Numero di byte al secondo scritti sul disco. | Nessuna soglia | I contatori di utilizzo del disco possono aggiungere informazioni dettagliate durante la risoluzione dei problemi di latenza di archiviazione. |