Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Aplica-se a: Advanced Threat Analytics versão 1.9
Os contadores de desempenho do ATA fornecem informações sobre o desempenho de cada componente do ATA. Os componentes no ATA processam dados sequencialmente, para que, quando houver um problema, isso possa causar uma queda parcial do tráfego em algum lugar ao longo da cadeia de componentes. Para corrigir o problema, você precisa descobrir qual componente está causando problemas e corrigir o problema no início da cadeia. Use os dados encontrados nos contadores de desempenho para entender como cada componente está funcionando. Consulte a arquitetura do ATA para entender o fluxo de componentes internos do ATA.
Processo de componente do ATA:
Quando um componente atinge seu tamanho máximo, ele bloqueia o componente anterior de enviar mais entidades para ele.
Em seguida, eventualmente, o componente anterior começará a aumentar seu próprio tamanho até bloquear o componente que o precede, impedindo-o de enviar mais entidades.
Isso acontece todo o caminho de volta para o componente NetworkListener, que removerá o tráfego quando ele não puder mais encaminhar entidades.
Recuperando arquivos de monitor de desempenho para solução de problemas
Para recuperar os arquivos do monitor de desempenho (BLG) dos vários componentes ATA:
- Abra o Performance Monitor.
- Interrompa o conjunto de coletores de dados denominado: Microsoft ATA Gateway ou Microsoft ATA Center.
- Vá para a pasta do conjunto de coletores de dados (por padrão, este é "C:\Arquivos de Programas\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" ou "C:\Arquivos de Programas\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Copie o arquivo BLG que foi modificado mais recentemente.
- Reinicie o conjunto de coletores de dados denominado: Microsoft Gateway do ATA ou Microsoft ATA Center.
Contadores de desempenho do Gateway do ATA
Nesta seção, todas as referências ao Gateway do ATA referem-se também ao Gateway Lightweight do ATA.
Você pode observar o status de desempenho em tempo real do Gateway do ATA adicionando os contadores de desempenho do Gateway do ATA. Isso é feito abrindo Monitor de Desempenho e adicionando todos os contadores para o Gateway do ATA. O nome do objeto do contador de desempenho é: Microsoft ATA Gateway.
Aqui está a lista dos principais contadores do Gateway do ATA aos quais prestar atenção:
| Contador | Descrição | Limite | Troubleshooting |
|---|---|---|---|
| Microsoft Gateway do ATA\NetworkListener PEF Mensagens Analisadas\Seg | A quantidade de tráfego que está sendo processado pelo Gateway do ATA a cada segundo. | Sem limite | Ajuda você a entender a quantidade de tráfego que está sendo analisada pelo Gateway do ATA. |
| Eventos descartados do PEF de NetworkListener por segundo | A quantidade de tráfego que está sendo descartado pelo Gateway do ATA a cada segundo. | Esse número deve ser zero o tempo todo (raros e curtos períodos de quedas são aceitáveis). | Verifique se há algum componente que atingiu seu tamanho máximo e está bloqueando componentes anteriores até o NetworkListener. Consulte o Processo de Componente do ATA acima. Verifique se não há nenhum problema com a CPU ou a memória. |
| Gateway do Microsoft ATA\NetworkListener ETW\Eventos Descartados\Segundos | A quantidade de tráfego que está sendo descartado pelo Gateway do ATA a cada segundo. | Esse número deve ser zero o tempo todo (raras rajadas curtas de quedas são aceitáveis). | Verifique se há algum componente que atingiu seu tamanho máximo e está bloqueando componentes anteriores até o NetworkListener. Consulte o Processo de Componente do ATA acima. Verifique se não há nenhum problema com a CPU ou a memória. |
| Microsoft ATA Gateway\NetworkActivityTranslator Message Data # Block Size | A quantidade de tráfego enfileirado para conversão para NAs (Atividades de Rede). | Deve ser menor que o máximo de 1 (máximo padrão: 100.000) | Verifique se há algum componente que atingiu seu tamanho máximo e está bloqueando componentes anteriores até o NetworkListener. Consulte o Processo de Componente do ATA acima. Verifique se não há nenhum problema com a CPU ou a memória. |
| Microsoft ATA Gateway\Tamanho do Bloco de Atividades do EntityResolver | O número de NAs (atividades de rede) na fila para resolução. | Deve ser menor que o máximo de 1 (máximo padrão: 10.000) | Verifique se há algum componente que atingiu seu tamanho máximo e está bloqueando componentes anteriores até o NetworkListener. Consulte o Processo de Componente do ATA acima. Verifique se não há nenhum problema com a CPU ou a memória. |
| Microsoft ATA Gateway\EntitySender Tamanho do Bloco de Lote da Entidade | A quantidade de NAs (Atividades de Rede) enfileiradas a serem enviadas para o Centro do ATA. | Deve ser menor que o máximo de 1 (máximo padrão: 1.000.000) | Verifique se há algum componente que atingiu seu tamanho máximo e está bloqueando componentes anteriores até o NetworkListener. Consulte o Processo de Componente do ATA acima. Verifique se não há nenhum problema com a CPU ou a memória. |
| Microsoft ATA Gateway\Hora de Envio do Lote do Entity-Sender | O tempo necessário para enviar o último lote. | Deve ser menor que 1000 milissegundos na maior parte do tempo | Verifique se há problemas de rede entre o Gateway do ATA e o Centro do ATA. |
Observação
- Os contadores cronometrados estão em milissegundos.
- Às vezes, é mais conveniente monitorar a lista completa dos contadores usando o tipo de gráfico Report (exemplo: monitoramento em tempo real de todos os contadores)
Contadores de desempenho do Gateway Leve do ATA
Os contadores de desempenho podem ser usados para o gerenciamento de cotas no Gateway Lightweight, para garantir que o ATA não escorra muitos recursos dos controladores de domínio nos quais ele está instalado. Para medir as limitações de recurso impostas pelo ATA no Gateway Lightweight, adicione esses contadores.
Isso é feito abrindo Monitor de Desempenho e adicionando todos os contadores para o Gateway Lightweight do ATA. Os nomes dos objetos de contador de desempenho são: Microsoft ATA Gateway e Microsoft ATA Gateway Updater.
| Contador | Descrição | Limite | Troubleshooting |
|---|---|---|---|
| Microsoft ATA Atualizador de Gateway\GatewayUpdaterResourceManager Tempo de CPU Máximo % | A quantidade máxima de tempo de CPU (em porcentagem) que o processo do Gateway Lightweight pode consumir. | Nenhum limite. | Essa é a limitação que protege os recursos do controlador de domínio de serem usados pelo Gateway Lightweight do ATA. Se você vir que o processo atinge o limite máximo com frequência durante um período de tempo (o processo atinge o limite e, em seguida, começa a remover o tráfego), isso significa que você precisa adicionar mais recursos ao servidor que executa o controlador de domínio.. |
| Atualizador de Gateway do Microsoft ATA\GatewayUpdaterResourceManager Tamanho Máximo da Memória de Confirmação | A quantidade máxima de memória comprometida (em bytes) que o processo do Lightweight Gateway pode consumir. | Nenhum limite. | Essa é a limitação que protege os recursos do controlador de domínio de serem usados pelo Gateway Lightweight do ATA. Se você vir que o processo atinge o limite máximo com frequência durante um período de tempo (o processo atinge o limite e, em seguida, começa a remover o tráfego), isso significa que você precisa adicionar mais recursos ao servidor que executa o controlador de domínio. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Tamanho do Limite do Conjunto de Trabalho | A quantidade máxima de memória física (em bytes) que o processo do Gateway Lightweight pode consumir. | Nenhum limite. | Essa é a limitação que protege os recursos do controlador de domínio de serem usados pelo Gateway Lightweight do ATA. Se você vir que o processo atinge o limite máximo com frequência durante um período de tempo (o processo atinge o limite e, em seguida, começa a remover o tráfego), isso significa que você precisa adicionar mais recursos ao servidor que executa o controlador de domínio. |
Para ver o consumo real, consulte os seguintes contadores:
| Contador | Descrição | Limite | Troubleshooting |
|---|---|---|---|
| Processo(Microsoft.Tri.Gateway)%Tempo de Processador | A quantidade de tempo de CPU (em porcentagem) que o processo do Gateway Lightweight está consumindo. | Nenhum limite. | Compare os resultados deste contador com o limite encontrado em GatewayUpdaterResourceManager CPU Time Max %. Se você vir que o processo atinge o limite máximo com frequência durante um período de tempo (o processo atinge o limite e, em seguida, começa a remover o tráfego), isso significa que você precisa dedicar mais recursos ao Gateway Lightweight. |
| Process(Microsoft.Tri.Gateway)\Bytes privados | A quantidade de memória confirmada (em bytes) que o processo do Gateway Lightweight está consumindo. | Nenhum limite. | Compare os resultados desse contador com o limite encontrado em GatewayUpdaterResourceManager Commit Memory Max Size. Se você vir que o processo atinge o limite máximo com frequência durante um período de tempo (o processo atinge o limite e, em seguida, começa a remover o tráfego), isso significa que você precisa dedicar mais recursos ao Gateway Lightweight. |
| Process(Microsoft. Tri.Gateway)\Conjunto de Trabalho | A quantidade de memória física (em bytes) que o processo do Gateway Lightweight está consumindo. | Nenhum limite. | Compare os resultados desse contador com o limite encontrado no Tamanho do Limite do Conjunto de Trabalho GatewayUpdaterResourceManager. Se você vir que o processo atinge o limite máximo com frequência durante um período de tempo (o processo atinge o limite e, em seguida, começa a remover o tráfego), isso significa que você precisa dedicar mais recursos ao Gateway Lightweight. |
Contadores de desempenho do Centro ATA
Você pode observar o status de desempenho em tempo real do Centro do ATA adicionando os contadores de desempenho do Centro do ATA.
Isso é feito abrindo Monitor de Desempenho e adicionando todos os contadores do ATA Center. O nome do objeto do contador de desempenho é: Microsoft ATA Center.
Aqui está a lista dos principais contadores do Centro ATA para se atentar a:
| Contador | Descrição | Limite | Troubleshooting |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Entity Batch Block Size | O número de lotes de entidades enfileirados pelo Centro ATA. | Deve ser menor que o máximo de 1 (máximo padrão: 10.000) | Verifique se há algum componente que atingiu seu tamanho máximo e está bloqueando componentes anteriores até o NetworkListener. Consulte o Processo de Componente ATA precedente. Verifique se não há nenhum problema com a CPU ou a memória. |
| Microsoft ATA Center\NetworkActivityProcessor tamanho do bloco de atividade de rede | O número de NAs (atividades de rede) na fila para processamento. | Deve ser menor que o máximo de 1 (máximo padrão: 50.000) | Verifique se há algum componente que atingiu seu tamanho máximo e está bloqueando componentes anteriores até o NetworkListener. Consulte o Processo de Componente ATA anterior. Verifique se não há nenhum problema com a CPU ou a memória. |
| Microsoft ATA Center\EntityProfiler tamanho do bloco de atividade de rede | O número de NAs (Atividades de Rede) na fila para criação de perfil. | Deve ser menor que o máximo de 1 (máximo padrão: 100.000) | Verifique se há algum componente que atingiu seu tamanho máximo e está bloqueando componentes anteriores até o NetworkListener. Consulte o Processo de Componente ATA anterior. Verifique se não há nenhum problema com a CPU ou a memória. |
| Microsoft ATA Center\Database * Tamanho do bloco | O número de atividades de rede, de um tipo específico, enfileirados para serem gravadas no banco de dados. | Deve ser menor que o máximo de 1 (máximo padrão: 50.000) | Verifique se há algum componente que atingiu seu tamanho máximo e está bloqueando componentes anteriores até o NetworkListener. Consulte o Processo do Componente ATA precedente. Verifique se não há nenhum problema com a CPU ou a memória. |
Observação
- Os contadores cronometrados estão em milissegundos
- Às vezes, é mais conveniente monitorar a lista completa dos contadores usando o tipo de grafo para Relatório (exemplo: monitoramento em tempo real de todos os contadores).
Contadores do sistema operacional
A tabela a seguir lista os principais contadores do sistema operacional para prestar atenção a:
| Contador | Descrição | Limite | Troubleshooting |
|---|---|---|---|
| Tempo do processador (_Total)% Tempo de execução do processador | A porcentagem de tempo decorrido gasto pelo processador para executar um thread não ocioso. | Menos de 80% em média | Verifique se há um processo específico que está levando muito mais tempo de processador do que deveria. Adicione mais processadores. Reduza a quantidade de tráfego por servidor. O contador "Processador(_Total)% Tempo do Processador" pode ser menos preciso em servidores virtuais; nesse caso, a maneira mais precisa de medir a falta de energia do processador é por meio do contador "System\Processor Queue Length". |
| Sistema\Trocas de Contexto\seg | A taxa combinada na qual todos os processadores são alternados de um thread para outro. | Menos de 5000*núcleos (núcleos físicos) | Verifique se há um processo específico que está levando muito mais tempo de processador do que deveria. Adicione mais processadores. Reduza a quantidade de tráfego por servidor. O contador "Processador(_Total)% Tempo do Processador" pode ser menos preciso em servidores virtuais; nesse caso, a maneira mais precisa de medir a falta de energia do processador é por meio do contador "System\Processor Queue Length". |
| Sistema\Comprimento da Fila de Processador | O número de threads que estão prontos para serem executados e estão aguardando para serem agendados. | Menos de cinco*núcleos (núcleos físicos) | Verifique se há um processo específico que está levando muito mais tempo de processador do que deveria. Adicione mais processadores. Reduza a quantidade de tráfego por servidor. O contador "Processador(_Total)% Tempo do Processador" pode ser menos preciso em servidores virtuais; nesse caso, a maneira mais precisa de medir a falta de energia do processador é por meio do contador "System\Processor Queue Length". |
| Memória\MBytes Disponíveis | A quantidade de memória física (RAM) disponível para alocação. | Deve ser mais de 512 | Verifique se há um processo específico que está levando muito mais memória física do que deveria. Aumente a quantidade de memória física. Reduza a quantidade de tráfego por servidor. |
| LogicalDisk(*)\Avg. Disk sec\Read | A latência média para ler dados do disco (você deve escolher a unidade de banco de dados como a instância). | Deve ser menor que 10 milissegundos | Verifique se há um processo específico que está utilizando a unidade de banco de dados mais do que deveria. Consulte sua equipe de armazenamento/fornecedor se essa unidade puder fornecer a carga de trabalho atual com menos de 10 ms de latência. A carga de trabalho atual pode ser determinada usando os contadores de utilização de disco. |
| LogicalDisk(*)\Avg. Disk sec\Write | A latência média para gravar dados no disco (você deve escolher a unidade de banco de dados como a instância). | Deve ser menor que 10 milissegundos | Verifique se há um processo específico que está utilizando a unidade de banco de dados mais do que deveria. Consulte sua equipe de armazenamento\fornecedor se essa unidade puder fornecer a carga de trabalho atual, com menos de 10 ms de latência. A carga de trabalho atual pode ser determinada usando os contadores de utilização de disco. |
| \LogicalDisk(*)\Leituras de Disco\seg | A taxa de execução de operações de leitura no disco. | Sem limite | Os contadores de utilização de disco podem adicionar insights ao solucionar problemas de latência de armazenamento. |
| \LogicalDisk(*)\Disk Read Bytes\seg | O número de bytes por segundo que estão sendo lidos do disco. | Sem limite | Os contadores de utilização de disco podem adicionar insights ao solucionar problemas de latência de armazenamento. |
| \LogicalDisk*\Escritas no Disco\seg | A taxa de execução de operações de gravação no disco. | Sem limite | Contadores de utilização de disco (podem adicionar insights ao solucionar problemas de latência de armazenamento) |
| \LogicalDisk(*)\Disk Write Bytes\s | O número de bytes por segundo que estão sendo gravados no disco. | Sem limite | Os contadores de utilização de disco podem adicionar insights ao solucionar problemas de latência de armazenamento. |