Применяется к Advanced Threat Analytics версии 1.8Applies to: Advanced Threat Analytics version 1.8

Планирование производительности ATAATA Capacity Planning

В этой статье содержится информация, которая поможет определить, сколько серверов ATA потребуется для мониторинга сети.This article helps you determine how many ATA servers are needed to monitor your network. Она поможет понять, сколько шлюзов ATA, упрощенных шлюзов ATA и ресурсов серверов понадобится для центра ATA и шлюзов ATA.It helps you figure out how many ATA Gateways and/or ATA Lightweight Gateways you need and the server capacity for your ATA Center and ATA Gateways.

Примечание

Центр ATA можно развернуть в любом поставщике IaaS, если выполнены требования к производительности, описанные в этой статье.The ATA Center can be deployed on any IaaS vendor as long as the performance requirements described in this article are met.

Использование средства изменения размераUsing the sizing tool

Рекомендуемый и самый простой способ определить емкость развертывания ATA — это использовать средство изменения размера ATA.The recommended and simplest way to determine capacity for your ATA deployment is to use the ATA Sizing Tool. Запустите средство изменения размера ATA и в файле Excel с результатами определите необходимую емкость с помощью следующих полей:Run the ATA Sizing Tool and from the Excel file results, use the following fields to determine the ATA capacity you need:

  • ЦП и память центра ATA: сопоставьте поле Busy Packets/sec (Занятых пакетов/с) в таблице центра ATA в файле результатов с полем PACKETS PER SECOND (Пакетов в секунду) в таблице центра ATA.ATA Center CPU and Memory: Match the Busy Packets/sec field in the ATA Center table results file to the PACKETS PER SECOND field in the ATA Center table.

  • Хранилище центра ATA: сопоставьте поле Avg Packets/sec (Среднее число пакетов/с) в таблице центра ATA в файле результатов с полем PACKETS PER SECOND (ПАКЕТОВ В СЕКУНДУ) в таблице центра ATA.ATA Center Storage: Match the Avg Packets/sec field in the ATA Center table results file to the PACKETS PER SECOND field in the ATA Center table.

  • Шлюз ATA: сопоставьте поле Busy Packets/sec (Занятых пакетов/с) в таблице шлюзов ATA в файле результатов с полем PACKETS PER SECOND (ПАКЕТОВ В СЕКУНДУ) в таблице шлюзов ATA или таблице легковесных шлюзов ATA, в зависимости от выбранного типа шлюза.ATA Gateway: Match the Busy Packets/sec field in the ATA Gateway table in the results file to the PACKETS PER SECOND field in the ATA Gateway table or the ATA Lightweight Gateway table, depending on the gateway type you choose.

Пример средства планирования емкости

Если по каким-либо причинам вы не можете использовать средство изменения размера ATA, необходимо вручную собрать данные по числу пакетов в секунду с коротким интервалом сбора (примерно 5 секунд) со всех контроллеров домена за 24 часа.If for some reason you cannot use the ATA Sizing Tool, manually gather the packet/sec counter information from all your Domain Controllers for 24 hours with a low collection interval (approximately 5 seconds). Затем для каждого контроллера домена необходимо вычислить ежедневное среднее значение и среднее значение самого занятого периода (15 минут).Then, for each Domain Controller, you must calculate the daily average and the busiest period (15 minutes) average. В следующих разделах представлены инструкции по сбору числа пакетов в секунду с одного контроллера домена.The following sections present the instruction for how to collect the packets/sec counter from one Domain Controller.

Определение размера и количества ресурсов для центра ATAATA Center Sizing

Чтобы проанализировать поведение пользователя, центру ATA требуются данные минимум за 30 дней.The ATA Center requires a recommended minimum of 30 days of data for user behavioral analytics.

Пакетов в секунду от всех контроллеров доменаPackets per second from all DCs ЦП (ядра*)CPU (cores*) Память (ГБ)Memory (GB) Объем хранилища базы данных в день (ГБ)Database storage per day (GB) Объем хранилища базы данных в месяц (ГБ)Database storage per month (GB) Операций ввода-вывода**IOPS**
10001,000 22 3232 0,30.3 99 30 (100)30 (100)
40 00040,000 44 4848 1212 360360 500 (750)500 (750)
200 000200,000 88 6464 6060 18001,800 1000 (1500)1,000 (1,500)
400 000400,000 1212 9696 120120 36003,600 2000 (2500)2,000 (2,500)
750 000750,000 2424 112112 225225 67506,750 2500 (3000)2,500 (3,000)
1 000 0001,000,000 4040 128128 300300 90009,000 4000 (5000)4,000 (5,000)

* Сюда относятся физические ядра, а не ядра с поддержкой технологии Hyper-Threading.*This includes physical cores, not hyper-threaded cores.

** Средние значения (пиковые значения).**Average numbers (Peak numbers)

Примечание

  • Совокупное максимальное число обрабатываемых центром ATA пакетов в секунду от всех отслеживаемых контроллеров домена составляет 1 млн.The ATA Center can handle an aggregated maximum of 1M packets per second from all the monitored domain controllers. В некоторых средах один центр ATA может обрабатывать трафик, аналогичный показатель которого превышает 1 млн.In some environments, the same ATA Center can handle overall traffic that is higher than 1M. Обратитесь к askcesec@microsoft.com. Вам помогут приступить к работе с такими средами.Contact askcesec@microsoft.com for assistance with such environments.
  • Указанные объемы памяти — это фактические значения.The amount of storage dictated here are net values. Всегда учитывайте будущий рост нагрузки и помните, что на диске с базой данных должно быть по крайней мере 20 % свободного пространства.You should always account for future growth and to make sure that the disk the database resides on has at least 20% of free space.
  • Если на диске остается менее 20 % или 200 ГБ свободного места, самая старая коллекция данных удаляется.If your free space reaches a minimum of either 20% or 200 GB, the oldest collection of data is deleted. Это происходит, пока на диске не остается только 5 % или 50 ГБ свободного пространства. Затем сбор данных останавливается.Deletion continues to occur until 5% or 50 GB of free space remains at which point data collection stops working.
  • Вы можете развернуть Центр ATA в любом поставщике IaaS, если выполнены требования к производительности, описанные в этой статье.It's possible to deploy the ATA Center on any IaaS vendor as long as the performance requirements that are described in this article are met.
  • При выполнении действий чтения и записи задержка хранилища должна быть менее 10 мс.The storage latency for read and write activities should be below 10 ms.
  • Соотношение между количеством операций чтения и записи должно составлять примерно 1:3 при обработке меньше 100 000 пакетов в секунду и 1:6 при обработке свыше 100 000 пакетов в секунду.The ratio between read and write activities is approximately 1:3 below 100,000 packets-per-second and 1:6 above 100,000 packets-per-second.
  • При запуске в качестве динамической памяти виртуальной машины или любой другой памяти функция воздушного шага не поддерживается.When running as a virtual machine dynamic memory or any other memory ballooning feature is not supported.
  • Для обеспечения оптимальной производительности задайте для параметра электропитания центра ATA значение высокой производительности.For optimal performance, set the Power Option of the ATA Center to High Performance.
  • При работе с физическим сервером для базы данных ATA необходимо отключить доступ к неоднородной памяти (NUMA) в BIOS.When working on a physical server, the ATA database needs you to disable Non-uniform memory access (NUMA) in the BIOS. Система может ссылаться на NUMA как на чередование узлов. В таком случае необходимо включить чередование узлов, чтобы отключить NUMA.Your system may refer to NUMA as Node Interleaving, in which case you have to enable Node Interleaving to disable NUMA. Дополнительные сведения см. в документации по BIOS.For more information, see your BIOS documentation. Это не имеет значения, если центр ATA выполняется на виртуальном сервере.This is not relevant when the ATA Center is running on a virtual server.

Выбор правильного типа шлюза для развертыванияChoosing the right gateway type for your deployment

В развертывании ATA поддерживается любое сочетание типов шлюза ATA:In an ATA deployment any combination of the ATA Gateway types is supported:

  • только шлюзы ATA;Only ATA Gateways
  • только упрощенные шлюзы ATA.Only ATA Lightweight Gateways
  • Комбинация шлюзовA combination of both

При выборе типа развертывания шлюза необходимо учитывать указанные ниже преимущества.When deciding the Gateway deployment type, consider the following benefits:

Тип шлюзаGateway type ПреимуществаBenefits СтоимостьCost Топология развертыванияDeployment topology Использование контроллера доменаDomain controller use
Шлюз ATAATA Gateway Внешнее развертывание усложняет обнаружение ATA для злоумышленниковThe Out of band deployment makes it harder for attackers to discover ATA is present ВышеHigher Устанавливается вместе с контроллером домена (внешняя установка)Installed alongside the domain controller (out of band) Поддерживает до 50 000 пакетов в секундуSupports up to 50,000 packets per second
Упрощенный шлюз ATAATA Lightweight Gateway Не требует выделенного сервера и настройки зеркального отражения портовDoesn't require a dedicated server and port-mirroring configuration НижнийLower Устанавливается на контроллере доменаInstalled on the domain controller Поддерживает до 10 000 пакетов в секундуSupports up to 10,000 packets per second

Ниже приведены примеры сценариев, в которых работу всех контроллеров домена контролирует упрощенный шлюз ATA:The following are examples of scenarios in which domain controllers should be covered by the ATA Lightweight Gateway:

  • сайты филиалов;Branch sites

  • Виртуальные контроллеры доменов, развернутые в облаке (IaaS)Virtual domain controllers deployed in the cloud (IaaS)

Ниже приведены примеры сценариев, в которых работу всех контроллеров домена контролирует шлюз ATA:The following are examples of scenarios in which domain controllers should be covered by the ATA Gateway:

  • Главные центры обработки данных (имеющие контроллеры доменов со скоростью передачи более 10 000 пакетов в секунду)Headquarter data centers (having domain controllers with more than 10,000 packets per seconds)

Размеры упрощенных шлюзов ATAATA Lightweight Gateway Sizing

Упрощенный шлюз ATA поддерживает отслеживание одного контроллера домена в зависимости от объема сетевого трафика, создаваемого контроллером домена.An ATA Lightweight Gateway can support the monitoring of one domain controller based on the amount of network traffic the domain controller generates.

Пакетов в секунду*Packets per second* Число ядер ЦП**CPU (cores**) Память (ГБ)***Memory (GB)***
10001,000 22 66
50005,000 66 1616
10 00010,000 1010 2424

* Общее количество пакетов в секунду в контроллере домена, который отслеживает конкретный упрощенный шлюз ATA.*Total number of packets-per-second on the domain controller being monitored by the specific ATA Lightweight Gateway.

**Общее количество ядер без применения технологии Hyper-Threading, установленных на этом контроллере домена.**Total number of non-hyper threaded cores that this domain controller has installed.
Хотя технология Hyper-Threading является приемлемой для упрощенного шлюза ATA, при планировании производительности необходимо подсчитать фактические ядра и ядра без применения технологии Hyper-Threading.While hyper threading is acceptable for the ATA Lightweight Gateway, when planning for capacity, you should count actual cores and not hyper threaded cores.

***Общий объем памяти, установленной в этом контроллере домена.***Total amount of memory that this domain controller has installed.

Примечание

  • Если на контроллере домена нет ресурсов, необходимых для упрощенного шлюза ATA, это не повлияет на производительность контроллера домена, но упрощенный шлюз ATA, возможно, не будет работать должным образом.If the domain controller does not have the resources required by the ATA Lightweight Gateway, domain controller performance is not effected, but the ATA Lightweight Gateway might not operate as expected.
  • При запуске в качестве динамической памяти виртуальной машины или любой другой памяти функция воздушного шага не поддерживается.When running as a virtual machine dynamic memory or any other memory ballooning feature is not supported.
  • Для обеспечения оптимальной производительности задайте для параметра электропитания упрощенного шлюза ATA значение высокой производительности.For optimal performance, set the Power Option of the ATA Lightweight Gateway to High Performance.
  • Требуется не менее 5 ГБ пространства. Мы рекомендуем 10 ГБ. Сюда входит пространство, необходимое для двоичных файлов ATA, журналов ATA и журналов производительности.A minimum of 5 GB of space is required and 10 GB is recommended, including space needed for the ATA binaries, ATA logs, and performance logs.

Определение размера шлюза ATAATA Gateway Sizing

При определении числа шлюзов ATA, которые необходимо развернуть, учитывайте указанные ниже моменты.Consider the following issues when deciding how many ATA Gateways to deploy.

  • Леса и домены Active DirectoryActive Directory forests and domains
    ATA может отслеживать трафик из нескольких доменов в рамках одного леса Active Directory.ATA can monitor traffic from multiple domains from a single Active Directory forest. Чтобы выполнять мониторинг нескольких лесов Active Directory, требуются отдельные развертывания ATA.Monitoring multiple Active Directory forests requires separate ATA deployments. Не настраивайте одно развертывание ATA для отслеживания сетевого трафика контроллеров домена в разных лесах.Do not configure a single ATA deployment to monitor network traffic of domain controllers from different forests.

  • Зеркальное отображение портовPort Mirroring
    Согласно рекомендациям по зеркальному отображению портов, возможно, потребуется развернуть несколько шлюзов ATA в центре данных или на сайте филиала.Port mirroring considerations might require you to deploy multiple ATA Gateways per data center or branch site.

  • ЕмкостьCapacity
    Шлюз ATA поддерживает отслеживание нескольких контроллеров домена в зависимости от объема сетевого трафика отслеживаемых контроллеров домена.An ATA Gateway can support monitoring multiple domain controllers, depending on the amount of network traffic of the domain controllers being monitored.

Пакетов в секунду*Packets per second* Число ядер ЦП**CPU (cores**) Память (ГБ)Memory (GB)
10001,000 11 66
50005,000 22 1010
10 00010,000 33 1212
20 00020,000 66 2424
50 00050,000 1616 4848

* Среднее количество пакетов в секунду, отправляемых всеми контроллерами домена, которые отслеживает конкретный шлюз ATA в час наибольшей нагрузки.*Total average number of packets-per-second from all domain controllers being monitored by the specific ATA Gateway during their busiest hour of the day.

* Общий объем зеркально отображенного трафика контроллера домена не может превышать емкость сетевого адаптера в шлюзе ATA.*The total amount of domain controller port-mirrored traffic cannot exceed the capacity of the capture NIC on the ATA Gateway.

** Технология Hyper-Threading должна быть отключена.**Hyper-threading must be disabled.

Примечание

  • Динамическая память не поддерживается.Dynamic memory is not supported.
  • Для обеспечения оптимальной производительности установите Параметр электропитания шлюза ATA на Высокую производительность.For optimal performance, set the Power Option of the ATA Gateway to High Performance.
  • Требуется не менее 5 ГБ пространства. Мы рекомендуем 10 ГБ. Сюда входит пространство, необходимое для двоичных файлов ATA, журналов ATA и журналов производительности.A minimum of 5 GB of space is required and 10 GB is recommended, including space needed for the ATA binaries, ATA logs, and performance logs.

Оценка трафика контроллера доменаDomain controller traffic estimation

Существуют различные инструменты, с помощью которых можно определить среднее число пакетов в секунду, отправляемых с контроллеров домена.There are various tools that you can use to discover the average packets per second of your domain controllers. Если у вас нет таких инструментов, эти сведения можно отследить с помощью системного монитора.If you do not have any tools that track this counter, you can use Performance Monitor to gather the required information.

Чтобы определить число пакетов в секунду, выполните на каждом контроллере домена указанные ниже действия.To determine packets per second, perform the following steps on each domain controller:

  1. Откройте системный монитор.Open Performance Monitor.

    Изображение системного монитора

  2. Разверните узел Группы сборщиков данных.Expand Data Collector Sets.

    Изображение узла "Группы сборщиков данных"

  3. Щелкните правой кнопкой мыши узел Определяется пользователем и последовательно выберите Создать > Группа сборщиков данных.Right click User Defined and select New > Data Collector Set.

    Изображение окна создания группы сборщиков данных

  4. Введите имя группы сборщиков данных и установите переключатель Создать вручную (для опытных).Enter a name for the collector set and select Create Manually (Advanced).

  5. В разделе Какой тип данных вы хотите использовать? выберите Создать журналы данных и Счетчик производительности.Under What type of data do you want to include? select Create data logs, and Performance counter.

    Изображение окна выбора типа данных для новой группы сборщиков данных

  6. В разделе Какие счетчики производительности следует записывать в журнал? нажмите кнопку Добавить.Under Which performance counters would you like to log, click Add.

  7. Разверните узел Сетевой адаптер, выберите пункт Пакетов/с и выберите подходящий экземпляр.Expand Network Adapter and select Packets/sec and select the proper instance. Если вы не уверены, выберите значение <Все экземпляры> и нажмите кнопку Добавить, а затем — ОК.If you are not sure, you can select <All instances> and click Add and OK.

    Примечание

    Чтобы увидеть имя адаптера и сведения о конфигурации, выполните в командной строке команду ipconfig /all.To perform this operation in a command line, run ipconfig /all to see the name of the adapter and configuration.

    Изображение окна добавления счетчиков производительности

  8. Установите для параметра Интервал выборки значение 1 секунда.Change the Sample interval to 1 second.

  9. Задайте папку для хранения данных.Set the location where you want the data to be saved.

  10. В разделе Create the data collector set (Создать группу сборщиков данных) выберите Запустить группу сборщиков данных сейчас и нажмите кнопку Готово.Under Create the data collector set, select Start this data collector set now, and click Finish.

    После этого отобразится созданная группа сборщиков данных с зеленым треугольником, который указывает на то, что она активна.You should now see the data collector set you created with a green triangle indicating that it is working.

  11. Через 24 часа остановите группу сборщиков данных, щелкнув ее правой кнопкой мыши и выбрав пункт Остановить.After 24 hours, stop the data collector set, by right-clicking the data collector set and selecting Stop.

    Изображения остановки группы сборщиков данных

  12. В проводнике перейдите к папке, в которой сохранен BLG-файл, и дважды щелкните его, чтобы открыть в системном мониторе.In File Explorer, browse to the folder where the .blg file was saved and double-click it to open it in Performance Monitor.

  13. Выберите счетчик пакетов в секунду и запишите приведенные в нем среднее и максимальные значения.Select the Packets/sec counter, and record the average and maximum values.

    Изображения счетчика пакетов в секунду

См. такжеSee Also