적용 대상: Advanced Threat Analytics 버전 1.9
ATA 성능 카운터는 ATA의 각 구성 요소가 얼마나 잘 수행되는지에 대한 인사이트를 제공합니다. ATA의 구성 요소는 데이터를 순차적으로 처리하므로 문제가 있는 경우 구성 요소 체인을 따라 부분적으로 삭제된 트래픽이 발생할 수 있습니다. 문제를 해결하려면 어떤 구성 요소가 역추진하는지 파악하고 체인의 시작 부분에서 문제를 해결해야 합니다. 성능 카운터에 있는 데이터를 사용하여 각 구성 요소의 작동 방식을 이해합니다. 내부 ATA 구성 요소의 흐름을 이해하려면 ATA 아키텍처 를 참조하세요.
ATA 구성 요소 프로세스:
구성 요소가 최대 크기에 도달하면 이전 구성 요소가 더 많은 엔터티를 보내지 못하도록 차단합니다.
결국 이전 단계의 구성 요소는 자신보다 이전에 위치한 구성 요소가 더 많은 엔터티를 보내려고 하는 것을 차단할 때까지 자신의 크기를 계속 늘리기 시작합니다.
이 작업은 NetworkListener 구성 요소로 돌아가서 더 이상 엔터티를 전달할 수 없을 때 트래픽을 삭제합니다.
문제 해결을 위해 성능 모니터 파일 검색
다양한 ATA 구성 요소에서 BLG(성능 모니터 파일)를 검색하려면 다음을 수행합니다.
- 퍼포먼스를 엽니다.
- 데이터 수집기 집합인 Microsoft ATA Gateway 또는 Microsoft ATA Center를 중지합니다.
- 데이터 수집기 집합 폴더로 이동합니다(기본적으로 "C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" 또는 "C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- 가장 최근에 수정된 BLG 파일을 복사합니다.
- Microsoft ATA Gateway 또는 Microsoft ATA Center 데이터 수집기 집합을 다시 시작합니다.
ATA 게이트웨이 성능 카운터
이 섹션에서는 ATA 게이트웨이에 대한 모든 참조가 ATA 경량 게이트웨이를 참조합니다.
ATA 게이트웨이의 성능 카운터를 추가하여 ATA 게이트웨이의 실시간 성능 상태를 확인할 수 있습니다. 이 작업은 성능 모니터 열고 ATA 게이트웨이에 대한 모든 카운터를 추가하여 수행됩니다. 성능 카운터 개체의 이름은 Microsoft ATA Gateway입니다.
주의해야 할 주요 ATA 게이트웨이 카운터 목록은 다음과 같습니다.
| 계수기 | 설명 | 임계값 | Troubleshooting |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF 구문 분석된 메시지\보안 | ATA 게이트웨이에서 1초마다 처리되는 트래픽 양입니다. | 임계값 없음 | ATA 게이트웨이에서 분석되는 트래픽의 양을 이해하는 데 도움이 됩니다. |
| NetworkListener PEF 드롭된 이벤트/초 | ATA 게이트웨이에서 1초마다 삭제되는 트래픽 양입니다. | 이 숫자는 항상 0이어야 합니다(드물게 짧은 낙하가 허용됨). | 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요 . CPU 또는 메모리에 문제가 없는지 확인합니다. |
| Microsoft ATA Gateway\NetworkListener ETW 드롭된 이벤트\초당 | ATA 게이트웨이에서 1초마다 삭제되는 트래픽 양입니다. | 이 숫자는 항상 0이어야 합니다(드물게 짧은 낙하가 허용됨). | 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요 . CPU 또는 메모리에 문제가 없는지 확인합니다. |
| Microsoft ATA Gateway\NetworkActivityTranslator 메시지 데이터 # 블록 크기 | NA(네트워크 활동)로 변환하기 위해 대기하는 트래픽의 양입니다. | 최대 1보다 작아야 합니다(기본 최대값: 100,000). | 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요 . CPU 또는 메모리에 문제가 없는지 확인합니다. |
| Microsoft ATA Gateway\EntityResolver 활동 블록 크기 | 확인을 위해 대기 중인 NA(네트워크 활동) 수입니다. | 최대값-1보다 작아야 합니다(기본 최대값: 10,000). | 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요 . CPU 또는 메모리에 문제가 없는지 확인합니다. |
| Microsoft ATA Gateway\EntitySender 엔터티 일괄 처리 블록 크기 | ATA 센터로 보내기 위해 대기 중인 네트워크 활동의 양입니다. | 최대 1보다 작아야 합니다(기본 최대값: 1,000,000). | 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요 . CPU 또는 메모리에 문제가 없는지 확인합니다. |
| Microsoft ATA 게이트웨이\EntitySender 배치 전송 시간 | 마지막 일괄 처리를 보내는 데 걸린 시간입니다. | 대부분의 경우 1000밀리초 미만이어야 합니다. | ATA 게이트웨이와 ATA 센터 간에 네트워킹 문제가 있는지 확인합니다. |
Note
- 시간 제한 카운터는 밀리초 단위입니다.
- 보고서 그래프 형식(예: 모든 카운터의 실시간 모니터링)을 사용하여 카운터의 전체 목록을 모니터링하는 것이 더 편리한 경우도 있습니다.
ATA 경량 게이트웨이 성능 카운터
성능 카운터는 경량 게이트웨이의 할당량 관리에 사용되어 ATA가 설치된 도메인 컨트롤러에서 너무 많은 리소스를 드레이닝하지 않도록 할 수 있습니다. ATA가 경량 게이트웨이에 적용하는 리소스 제한을 측정하려면 이러한 카운터를 추가합니다.
이 작업은 성능 모니터 열고 ATA 경량 게이트웨이에 대한 모든 카운터를 추가하여 수행됩니다. 성능 카운터 개체의 이름은 Microsoft ATA Gateway 및 Microsoft ATA Gateway Updater입니다.
| 계수기 | 설명 | 임계값 | Troubleshooting |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager CPU 시간 최대 % | 경량 게이트웨이 프로세스에서 사용할 수 있는 최대 CPU 시간(백분율)입니다. | 임계값이 없습니다. | 이는 도메인 컨트롤러 리소스가 ATA 경량 게이트웨이에서 사용되지 않도록 보호하는 제한 사항입니다. 프로세스가 일정 기간 동안 종종 최대 제한에 도달하는 경우(프로세스가 한도에 도달한 다음 트래픽을 삭제하기 시작) 도메인 컨트롤러를 실행하는 서버에 리소스를 더 추가해야 합니다. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager 커밋 메모리 최대 크기 | 경량 게이트웨이 프로세스에서 사용할 수 있는 커밋된 메모리의 최대 양(바이트)입니다. | 임계값이 없습니다. | 이는 도메인 컨트롤러 리소스가 ATA 경량 게이트웨이에서 사용되지 않도록 보호하는 제한 사항입니다. 프로세스가 일정 기간 동안 종종 최대 한도에 도달하는 경우(프로세스가 제한에 도달한 다음 트래픽을 삭제하기 시작) 도메인 컨트롤러를 실행하는 서버에 더 많은 리소스를 추가해야 함을 의미합니다. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager 작업 집합 제한 크기 | 경량 게이트웨이 프로세스에서 사용할 수 있는 최대 실제 메모리 양(바이트)입니다. | 임계값이 없습니다. | 이는 도메인 컨트롤러 리소스가 ATA 경량 게이트웨이에서 사용되지 않도록 보호하는 제한 사항입니다. 프로세스가 일정 기간 동안 종종 최대 한도에 도달하는 경우(프로세스가 제한에 도달한 다음 트래픽을 삭제하기 시작) 도메인 컨트롤러를 실행하는 서버에 더 많은 리소스를 추가해야 함을 의미합니다. |
실제 사용량을 확인하려면 다음 카운터를 참조하세요.
| 계수기 | 설명 | 임계값 | Troubleshooting |
|---|---|---|---|
| Process(Microsoft.Tri.Gateway)%Processor 시간 | 경량 게이트웨이 프로세스가 실제로 사용하는 CPU 시간(백분율)입니다. | 임계값이 없습니다. | 이 카운터의 결과를 GatewayUpdaterResourceManager의 CPU 시간 최대 %와 비교합니다. 프로세스가 일정 기간 동안 종종 최대 한도에 도달하는 경우(프로세스가 한도에 도달한 다음 트래픽을 삭제하기 시작) 경량 게이트웨이에 더 많은 리소스를 헌납해야 한다는 의미입니다. |
| Process(Microsoft.Tri.Gateway)\Private Bytes | 경량 게이트웨이 프로세스가 실제로 사용하는 커밋된 메모리 양(바이트)입니다. | 임계값이 없습니다. | 이 카운터의 결과를 GatewayUpdaterResourceManager 커밋 메모리 최대 크기에 있는 제한과 비교합니다. 프로세스가 일정 기간 동안 종종 최대 한도에 도달하는 경우(프로세스가 한도에 도달한 다음 트래픽을 삭제하기 시작) 경량 게이트웨이에 더 많은 리소스를 헌납해야 한다는 의미입니다. |
| Process(Microsoft.Tri.Gateway)\Working Set | 경량 게이트웨이 프로세스가 실제로 사용하는 실제 메모리 양(바이트)입니다. | 임계값이 없습니다. | 이 카운터의 결과를 GatewayUpdaterResourceManager 작업 집합 제한 크기에 있는 제한과 비교합니다. 프로세스가 일정 기간 동안 종종 최대 한도에 도달하는 경우(프로세스가 한도에 도달한 다음 트래픽을 삭제하기 시작) 경량 게이트웨이에 더 많은 리소스를 헌납해야 한다는 의미입니다. |
ATA 센터 성능 카운터
ATA 센터의 성능 카운터를 추가하여 ATA 센터의 실시간 성능 상태를 확인할 수 있습니다.
이 작업은 성능 모니터 열고 ATA 센터에 대한 모든 카운터를 추가하여 수행됩니다. 성능 카운터 개체의 이름은 Microsoft ATA Center입니다.
주의해야 할 주요 ATA 센터 카운터 목록은 다음과 같습니다.
| 계수기 | 설명 | 임계값 | Troubleshooting |
|---|---|---|---|
| 마이크로소프트 ATA 센터\EntityReceiver 엔터티 일괄 처리 블록 크기 | ATA 센터에서 큐에 대기 중인 엔터티 일괄 처리 수입니다. | 최대값-1보다 작아야 합니다(기본 최대값: 10,000). | 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요. CPU 또는 메모리에 문제가 없는지 확인합니다. |
| MICROSOFT ATA Center\NetworkActivityProcessor 네트워크 활동 블록 크기 | 처리를 위해 대기 중인 NA(네트워크 활동) 수입니다. | 최대 1보다 작아야 합니다(기본 최대값: 50,000). | 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요. CPU 또는 메모리에 문제가 없는지 확인합니다. |
| Microsoft ATA 센터\EntityProfiler 네트워크 활동 블록 크기 | 프로파일링을 위해 대기 중인 NA(네트워크 활동) 수입니다. | 최대 1보다 작아야 합니다(기본 최대값: 100,000). | 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요. CPU 또는 메모리에 문제가 없는지 확인합니다. |
| Microsoft ATA 센터\데이터베이스 * 블록 크기 | 데이터베이스에 쓰기 위해 대기 중인 특정 유형의 네트워크 활동 수입니다. | 최대 1보다 작아야 합니다(기본 최대값: 50,000). | 최대 크기에 도달하고 NetworkListener까지 이전 구성 요소를 차단하는 구성 요소가 있는지 확인합니다. 위의 ATA 구성 요소 프로세스를 참조하세요. CPU 또는 메모리에 문제가 없는지 확인합니다. |
Note
- 시간 제한 카운터는 밀리초 단위입니다.
- 보고서에 대한 그래프 형식을 사용하여 카운터의 전체 목록을 모니터링하는 것이 더 편리한 경우도 있습니다(예: 모든 카운터의 실시간 모니터링).
운영 체제 계수기
다음 표에서는 주의해야 할 주요 운영 체제 카운터를 나열합니다.
| 계수기 | 설명 | 임계값 | Troubleshooting |
|---|---|---|---|
| 프로세서(_전체)% 프로세서 시간 | 프로세서가 유휴 상태가 아닌 스레드를 실행하는 데 소요되는 경과된 시간의 백분율입니다. | 평균 80% 미만 | 프로세서 시간이 예상보다 훨씬 많은 특정 프로세스가 있는지 확인합니다. 프로세서를 더 추가합니다. 서버당 트래픽 양을 줄입니다. "프로세서(_Total)% 프로세서 시간" 카운터는 가상 서버에서 정확도가 낮을 수 있습니다. 이 경우 프로세서 전원 부족을 측정하는 보다 정확한 방법은 "System\Processor Queue Length" 카운터를 통해서입니다. |
| 시스템\컨텍스트 스위치\초 | 모든 프로세서가 한 스레드에서 다른 스레드로 전환되는 결합 속도입니다. | 5000*코어 미만(물리적 코어) | 프로세서 시간이 예상보다 훨씬 많은 특정 프로세스가 있는지 확인합니다. 프로세서를 더 추가합니다. 서버당 트래픽 양을 줄입니다. "프로세서(_Total)% 프로세서 시간" 카운터는 가상 서버에서 정확도가 낮을 수 있습니다. 이 경우 프로세서 전원 부족을 측정하는 보다 정확한 방법은 "System\Processor Queue Length" 카운터를 통해서입니다. |
| System\프로세서 대기열 길이 | 실행할 준비가 되었으며 예약되기를 기다리는 스레드 수입니다. | 5*코어 미만(물리적 코어) | 프로세서 시간이 예상보다 훨씬 많은 특정 프로세스가 있는지 확인합니다. 프로세서를 더 추가합니다. 서버당 트래픽 양을 줄입니다. "프로세서(_Total)% 프로세서 시간" 카운터는 가상 서버에서 정확도가 낮을 수 있습니다. 이 경우 프로세서 전원 부족을 측정하는 보다 정확한 방법은 "System\Processor Queue Length" 카운터를 통해서입니다. |
| 메모리\사용 가능한 메가바이트 (MBytes) | 할당에 사용할 수 있는 실제 메모리(RAM)의 양입니다. | 512 이상이어야 합니다. | 실제 메모리가 예상보다 훨씬 많은 특정 프로세스가 있는지 확인합니다. 실제 메모리의 양을 늘입니다. 서버당 트래픽 양을 줄입니다. |
| LogicalDisk(*)\Avg. Disk sec\Read | 디스크에서 데이터를 읽기 위한 평균 대기 시간(인스턴스로 데이터베이스 드라이브를 선택해야 합니다). | 10밀리초 미만이어야 합니다. | 데이터베이스 드라이브를 사용하는 특정 프로세스가 예상보다 많은지 확인합니다. 10ms 미만의 대기 시간이 있는 동안 이 드라이브가 현재 워크로드를 제공할 수 있는 경우 스토리지 팀/공급업체에 문의하세요. 현재 워크로드는 디스크 사용률 카운터를 사용하여 확인할 수 있습니다. |
| LogicalDisk(*)\평균 디스크 초\쓰기 | 디스크에 데이터를 쓰기 위한 평균 대기 시간(인스턴스로 데이터베이스 드라이브를 선택해야 합니다). | 10밀리초 미만이어야 합니다. | 데이터베이스 드라이브를 사용하는 특정 프로세스가 예상보다 많은지 확인합니다. 10ms 미만의 대기 시간이 있는 동안 이 드라이브가 현재 워크로드를 제공할 수 있는 경우 스토리지 팀\공급업체에 문의하세요. 현재 워크로드는 디스크 사용률 카운터를 사용하여 확인할 수 있습니다. |
| \LogicalDisk(*)\Disk Reads\sec | 디스크에 대한 읽기 작업을 수행하는 속도입니다. | 임계값 없음 | 디스크 사용률 카운터는 스토리지 대기 시간 문제를 해결할 때 인사이트를 추가할 수 있습니다. |
| \LogicalDisk(*)\디스크 읽기 바이트/초 | 디스크에서 읽는 초당 바이트 수입니다. | 임계값 없음 | 디스크 사용률 카운터는 스토리지 대기 시간 문제를 해결할 때 인사이트를 추가할 수 있습니다. |
| \LogicalDisk*\디스크 쓰기/초 | 디스크에 쓰기 작업을 수행하는 속도입니다. | 임계값 없음 | 디스크 사용률 카운터(스토리지 대기 시간 문제 해결 시 인사이트를 추가할 수 있습니다.) |
| \LogicalDisk(*)\Disk Write Bytes\sec | 디스크에 기록되는 초당 바이트 수입니다. | 임계값 없음 | 디스크 사용률 카운터는 스토리지 대기 시간 문제를 해결할 때 인사이트를 추가할 수 있습니다. |