Hızlı başlangıç: Azure ATP için plan kapasitesiQuickstart: Plan capacity for Azure ATP

Bu hızlı başlangıçta, kaç tane Azure ATP sensör ve tek başına sensöri gerektiğini belirlersiniz.In this quickstart, you determine how many Azure ATP sensors and standalone sensors you need.

PrerequisitesPrerequisites

Boyutlandırma aracını kullanmaUse the sizing tool

Azure ATP dağıtımınız için kapasiteyi belirlemenin önerilen ve en basit yolu, Azure ATP boyutlandırma aracını kullanmaktır.The recommended and simplest way to determine capacity for your Azure ATP deployment is to use the Azure ATP Sizing Tool. Aracı kullansanız, trafik bilgilerini el ile toplayabilirsiniz.If you're unable to use the tool, you can manually gather traffic information. El ile yöntemi hakkında daha fazla bilgi için bu makalenin altındaki etki alanı denetleyicisi trafik tahmini bölümüne bakın.For more information the manual method, see the Domain controller traffic estimator section at the bottom of this article.

  1. İndirdiğiniz zip dosyasından Azure ATP boyutlandırma aracını, Trisizingtool. exe' yi çalıştırın.Run the Azure ATP Sizing Tool, TriSizingTool.exe, from the zip file you downloaded.

  2. Araç çalışmayı bitirdiğinde Excel dosyası sonuçları ' nı açın.When the tool finishes running, open the Excel file results.

  3. Excel dosyasında, Azure ATP Özet sayfasını bulun ve tıklayın.In the Excel file, locate and click on the Azure ATP Summary sheet. ATA planlaması için olduğundan diğer sayfa gerekli değildir.The other sheet isn't needed since it's for ATA planning. örnek kapasite planlama aracıSample capacity planning tool

  4. Sonuçlar Excel dosyasında Azure ATP algılayıcısı tablosunda meşgul paketleri/sn alanını bulun ve bunu bir yere göz önünde bulundurun.Locate the Busy Packets/sec field in the Azure ATP sensor table in the results Excel file and make a note of it.

  5. Sensör türünü seçin.Choose your sensor type. Hangi algılayıcı veya sensörlerden hangisini kullanmak istediğinizi belirlemek için doğru algılayıcı türünü seçme bölümündeki bilgileri kullanın.Use the information in the Choosing the right sensor type section to determine which sensor or sensors you would like to use. Algılayıcı türünü seçerken meşgul paketlerinizi/sn 'yi aklınızda tutun.Keep your Busy Packets/sec in mind when choosing the sensor type.

  6. Bu makalenin Azure ATP algılayıcı tablosu bölümünde, meşgul paketlerinizi/sn alanını saniye başına paketle eşleştirin.Match your Busy Packets/sec field to the PACKETS PER SECOND field in the Azure ATP sensor table section of this article. Algılayıcı tarafından kullanılacak belleği ve CPU 'YU öğrenmek için alanları kullanın.Use the fields to determine the memory and CPU that will be used by the sensor.

Dağıtımınız için doğru algılayıcı türünü seçmeChoosing the right sensor type for your deployment

Azure ATP dağıtımında, Azure ATP algılayıcı türlerinin herhangi bir birleşimi desteklenir:In an Azure ATP deployment any combination of the Azure ATP sensor types is supported:

  • Yalnızca Azure ATP sensörleriOnly Azure ATP sensors
  • Yalnızca Azure ATP tek başına algılayıcılarOnly Azure ATP standalone sensors
  • Her ikisinin birleşimiA combination of both

Algılayıcı dağıtım türüne karar verirken aşağıdaki avantajları göz önünde bulundurun:When deciding the sensor deployment type, consider the following benefits:

Algılayıcı türüSensor type YararlarıBenefits MaliyetCost Dağıtım topolojisiDeployment topology Etki alanı denetleyicisi kullanımıDomain controller use
Azure ATP algılayıcısıAzure ATP sensor Ayrılmış bir sunucu ve bağlantı noktası yansıtma yapılandırması gerektirmezDoesn't require a dedicated server and port-mirroring configuration Daha düşükLower Etki alanı denetleyicisine yüklenirInstalled on the domain controller Saniyede en fazla 100.000 paketi desteklerSupports up to 100,000 packets per second
Azure ATP tek başına algılayıcısıAzure ATP standalone sensor Bant dışı dağıtım, saldırganların Azure ATP 'yi bulmasını zorlaştırırThe out of band deployment makes it harder for attackers to discover Azure ATP is present Daha yüksekHigher Etki alanı denetleyicisinin yanı sıra yüklenir (bant dışı)Installed alongside the domain controller (out of band) Saniyede en fazla 100.000 paketi desteklerSupports up to 100,000 packets per second

Kaç Azure ATP tek başına senssinden dağıtım olduğuna karar verirken aşağıdaki sorunları göz önünde bulundurun:Consider the following issues when deciding how many Azure ATP standalone sensors to deploy:

  • Active Directory ormanları ve etki alanları -Azure ATP, oluşturduğunuz her BIR Azure ATP örneği için birden fazla Active Directory ormanı içindeki birden çok etki alanından trafiği izleyebilir.Active Directory forests and domains - Azure ATP can monitor traffic from multiple domains within multiple Active Directory forests, for each Azure ATP instance you create.

  • Bağlantı noktası yansıtma-bağlantı noktası yansıtma konuları, veri merkezi veya şube sitesi başına birden çok Azure ATP bağımsız algılayıcı dağıtmanızı gerektirebilir.Port Mirroring - Port mirroring considerations might require you to deploy multiple Azure ATP standalone sensors per data center or branch site.

  • Kapasite -Azure ATP tek başına algılayıcısı, izlenmekte olan etki alanı denetleyicilerinin ağ trafiği miktarına bağlı olarak birden çok etki alanı denetleyicisinin izlenmesini destekleyebilir.Capacity - An Azure ATP standalone sensor can support monitoring multiple domain controllers, depending on the amount of network traffic of the domain controllers being monitored.

Azure ATP algılayıcısı ve tek başına algılayıcı boyutlandırmasıAzure ATP sensor and standalone sensor sizing

Azure ATP algılayıcısı, etki alanı denetleyicisinin oluşturduğu ağ trafiği miktarına bağlı olarak bir etki alanı denetleyicisinin izlenmesini destekleyebilir.An Azure ATP sensor can support the monitoring of a domain controller based on the amount of network traffic the domain controller generates. Aşağıdaki tablo bir tahmindir.The following table is an estimate. Sensörin ayrıştırıldığı son miktar trafik miktarına ve trafiğin dağıtımına bağlıdır.The final amount that the sensor parses is dependent on the amount of traffic and the distribution of traffic.

Aşağıdaki CPU ve bellek kapasitesi, etki alanı denetleyicisi kapasitesini değil, sensör kendi tüketiminebaşvurur.The following CPU and memory capacity refers to the sensor's own consumption, not the domain controller capacity.

Paket/saniye *Packets per second* CPU (çekirdek) * *CPU (cores)** Bellek (GB)Memory (GB)
0-1k0-1k 0.250.25 2.502.50
1k-5k1k-5k 0.750.75 6.006.00
5k-10.0005k-10k 1.001.00 6,506.50
10.000-20K10k-20k 2.002.00 9,009.00
20K-50K20k-50k 3.503.50 9.509.50
50K-75k50k-75k 3.503.50 9.509.50
75k-100k75k-100k 3.503.50 9.509.50

* * Bu, hiper iş parçacıklı çekirdekler değil fiziksel çekirdekleri içerir.** This includes physical cores, not hyper-threaded cores.

Boyutlandırma belirlenirken, aşağıdaki öğeleri aklınızda edin:When determining sizing, note the following items:

  • Algılayıcı hizmetinin kullanacağı çekirdek sayısı (Toplam).Total number of cores that the sensor service will use.
    Hiper iş parçacıklı çekirdekler üzerinde çalışmameniz önerilir.It's recommended that you don't work with hyper-threaded cores. Hiper iş parçacıklı çekirdeklerle çalışma, Azure ATP algılayıcısı sistem durumu sorunlarına yol açabilir.Working with hyper-threaded cores can result in Azure ATP sensor health issues.
  • Algılayıcı hizmetinin kullanacağı toplam bellek miktarı.Total amount of memory that the sensor service will use.
  • Etki alanı denetleyicisinde Azure ATP algılayıcısı için gerekli kaynaklar yoksa, etki alanı denetleyicisi performansı etkilenmez.If the domain controller doesn't have the resources required by the Azure ATP sensor, domain controller performance isn't affected. Ancak, Azure ATP algılayıcısı beklendiği gibi çalışmayabilir.However, the Azure ATP sensor might not operate as expected.
  • Sanal makine olarak çalışırken, tüm belleğin sanal makineye her zaman ayrılması gerekir.When running as a virtual machine, all memory is required to be allocated to the virtual machine at all times.
  • En iyi performans için, Azure ATP algılayıcısının Güç seçeneğini yüksek performansolarak ayarlayın.For optimal performance, set the Power Option of the Azure ATP sensor to High Performance.
  • En az 2 çekirdek gereklidir.A minimum of 2 cores is required. Azure ATP ikilileri ve günlükleri için gereken alan dahil olmak üzere en az 6 GB alan gereklidir, 10 GB önerilir.A minimum of 6 GB of space is required, 10 GB is recommended, including space needed for the Azure ATP binaries and logs.

Dinamik bellekDynamic memory

Not

Sanal makine (VM) olarak çalışırken tüm belleğin VM 'ye her zaman ayrılması gerekir.When running as a virtual machine (VM) all memory is required to be allocated to VM at all times.

VM üzerinde çalışıyorVM running on DescriptionDescription
Hyper-VHyper-V VM için dinamik bellek etkinleştir özelliğinin etkin olmadığından emin olun.Ensure that Enable Dynamic Memory is not enabled for the VM.
VMwareVMWare Yapılandırılan bellek miktarının ve ayrılan belleğin aynı olduğundan emin olun veya VM ayarında, tüm konuk belleğini ayır (tümü kilitli) ' de şu seçeneği belirleyin.Ensure that the amount of memory configured and the reserved memory are the same, or select the following option in the VM setting – Reserve all guest memory (All locked).
Diğer sanallaştırma ana bilgisayarıOther virtualization host Belleğin sanal makineye her zaman tam olarak ayrıldığından emin olmak için satıcı tarafından sağlanan belgelere bakın.Refer to the vendor supplied documentation on how to ensure that memory is fully allocated to the VM at all times.

Etki alanı denetleyicisi trafik tahminiDomain controller traffic estimation

Bazı nedenlerle Azure ATP boyutlandırma aracını kullanmıyorsanız, tüm etki alanı Denetleyicilerinizden Paket/sn sayaç bilgilerini el ile toplayın.If for some reason you can't use the Azure ATP Sizing Tool, manually gather the packet/sec counter information from all your domain controllers. Yaklaşık 5 saniyede, düşük bir koleksiyon aralığıyla 24 saat için bilgi toplayın.Gather the information for 24 hours with a low collection interval, approximately 5 seconds. Ardından, her etki alanı denetleyicisi için günlük ortalamasını ve en yoğun süre (15 dakika) ortalamasını hesaplayın.Then, for each domain controller, calculate the daily average and the busiest period (15 minutes) average. Aşağıdaki bölümler, bir etki alanı denetleyicisinden paketlerin/sn sayacının nasıl toplanalınacağını gösteren yönergeyi sunar.The following sections present the instruction for how to collect the packets/sec counter from one domain controller.

Etki alanı denetleyicilerinizin saniyedeki ortalama paket sayısını bulmak için kullanabileceğiniz çeşitli araçlar vardır.There are various tools that you can use to discover the average packets per second of your domain controllers. Bu sayacı izleyen bir araç yoksa, gerekli bilgileri toplamak için performans Izleyicisi 'ni kullanabilirsiniz.If you don't have any tools that track this counter, you can use Performance Monitor to gather the required information.

Saniyedeki paketleri öğrenmek için, her etki alanı denetleyicisinde aşağıdaki adımları uygulayın:To determine packets per second, do the following steps on each domain controller:

  1. Performans İzleyicisi'ni açın.Open Performance Monitor.

    Performans izleyicisi resmi

  2. Veri Toplayıcı Kümeleri’ni genişletin.Expand Data Collector Sets.

    Veri toplayıcı kümelerinin resmi

  3. Kullanıcı tanımlı ' e sağ tıklayın ve Yeni > veri toplayıcı kümesi' ni seçin.Right click User Defined and select New > Data Collector Set.

    Yeni veri toplayıcı kümesinin resmi

  4. Toplayıcı kümesi için bir ad girin ve El İle Oluştur (Gelişmiş) öğesini seçin.Enter a name for the collector set and select Create Manually (Advanced).

  5. Hangi veri türlerini eklemek istersiniz? alanında Veri günlükleri ve Performans sayacını oluştur’u seçin.Under What type of data do you want to include? select Create data logs, and Performance counter.

    Yeni veri toplayıcı kümesi için veri türünün resmi

  6. Hangi performans sayaçlarını günlüğe kaydetmek istersiniz? alanında Ekle’ye tıklayın.Under Which performance counters would you like to log, click Add.

  7. Ağ Bağdaştırıcısı’nı genişletin, Paket/sn’yi seçin ve doğru örneği seçin.Expand Network Adapter and select Packets/sec and select the proper instance. Emin değilseniz, <tüm örnekleri> seçip Ekle ve Tamam' a tıklayabilirsiniz.If you aren't sure, you can select <All instances> and click Add and OK.

    Not

    Bunu bir komut satırında yapmak için ipconfig /all komutunu çalıştırarak bağdaştırıcının ve yapılandırmanın adını görüntüleyin.To perform this operation in a command line, run ipconfig /all to see the name of the adapter and configuration.

    ATA performans sayaçlarının resmi

  8. Örnek aralığı beş saniyeolarak değiştirin.Change the Sample interval to five seconds.

  9. Verilerin kaydedilmesini istediğiniz konumunu ayarlayın.Set the location where you want the data to be saved.

  10. Veri toplayıcı kümesi oluştur' un altında Bu veri toplayıcı kümesini Şimdi Başlat' ı seçin ve son' a tıklayın.Under Create the data collector set, select Start this data collector set now, and click Finish.

    Şimdi oluşturduğunuz veri toplayıcı kümesini, çalıştığını belirten yeşil bir üçgenle görmeniz gerekir.You should now see the data collector set you created with a green triangle indicating that it's working.

  11. 24 saat sonra, veri toplayıcı kümesine sağ tıklayıp Durdur’u seçerek veri toplayıcı kümesini durdurun.After 24 hours, stop the data collector set, by right-clicking the data collector set and selecting Stop.

    Veri toplayıcı kümesini durdurma resmi

  12. Dosya Gezgini’nde, .blg dosyasının kaydedildiği klasöre gözatın ve çift tıklayarak dosyayı Performans İzleyicisi’nde açın.In File Explorer, browse to the folder where the .blg file was saved and double-click it to open it in Performance Monitor.

  13. Paket/sn sayacını seçin, ortalama ve en yüksek değerleri kaydedin.Select the Packets/sec counter, and record the average and maximum values.

    Saniyedeki paket sayısı sayacının resmi

Sonraki adımlarNext steps

Bu hızlı başlangıçta, kaç Azure ATP sensörün ve tek başına sensörler gerektiğini belirleirsiniz.In this quickstart, you determined how many Azure ATP sensors and standalone sensors you need. Sensörlerden de boyutlandırma belirlediniz.You also determined sizing for the sensors. Bir Azure ATP örneği oluşturmak için sonraki hızlı başlangıca geçin.Continue to the next quickstart to create an Azure ATP instance.

Topluluğa katılınJoin the Community

Daha fazla sorunuz mu, yoksa Azure ATP ve ilgili güvenlik ile ilgili güvenliğin tartışılıyor musunuz?Have more questions, or an interest in discussing Azure ATP and related security with others? Azure ATP topluluğuna bugün katılarak!Join the Azure ATP Community today!