Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Aplica-se a: Advanced Threat Analytics versão 1.9
Os contadores de desempenho do ATA fornecem uma perspetiva sobre o desempenho de cada componente do ATA. Os componentes no ATA processam os dados sequencialmente, para que, quando houver um problema, possa causar uma perda parcial de tráfego em algum ponto da cadeia de componentes. Para resolver o problema, você precisa identificar qual componente está causando problemas e corrigir o problema no início do processo. Utilize os dados encontrados nos contadores de desempenho para perceber como cada componente está a funcionar. Consulte a arquitetura ATA para compreender o fluxo dos componentes internos do ATA.
Processo de componente ATA
Quando um componente atinge o seu tamanho máximo, bloqueia o componente anterior de enviar mais entidades para ele.
Depois, eventualmente, o componente anterior começa a aumentar o seu próprio tamanho até bloquear o componente anterior, impedindo que enviem mais entidades.
Isso acontece por completo até ao componente NetworkListener, que suspende o tráfego quando já não consegue encaminhar elementos.
Recuperação de ficheiros de monitor de desempenho para resolução de problemas
Para recuperar ficheiros de monitorização de desempenho (BLG) dos diversos componentes ATA:
- Abra o perfmon.
- Pare o conjunto de coletores de dados nomeado: Microsoft ATA Gateway ou Microsoft ATA Center.
- Aceda à pasta do conjunto de coletores de dados (por defeito, isto é "C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets" ou "C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets").
- Copie o ficheiro BLG que foi modificado mais recentemente.
- Reinicie o conjunto de coletores de dados nomeado: Microsoft ATA Gateway ou Microsoft ATA Center.
Contadores de desempenho do ATA Gateway
Nesta secção, cada referência ao ATA Gateway refere-se também ao ATA Lightweight Gateway.
Pode observar o estado de desempenho em tempo real do ATA Gateway adicionando os contadores de desempenho do ATA Gateway. Isto faz-se abrindo Performance Monitor e adicionando todos os contadores para o Gateway ATA. O nome do objeto contador de desempenho é: Microsoft ATA Gateway.
Aqui está a lista dos principais contadores do ATA Gateway a que deve prestar atenção.
| Contador | Descrição | Limite | Troubleshooting |
|---|---|---|---|
| Microsoft ATA Gateway\NetworkListener PEF Parsed Messages\Sec | A quantidade de tráfego processado pelo Gateway ATA a cada segundo. | Sem limiar | Ajuda-te a perceber a quantidade de tráfego que está a ser analisada pelo ATA Gateway. |
| NetworkListener PEF Eventos Perdidos\Sec | A quantidade de tráfego que é rejeitada pelo ATA Gateway a cada segundo. | Este número deve ser zero em todos os momentos (raros períodos curtos de quedas são aceitáveis). | Verifique se há algum componente que atingiu o seu tamanho máximo e está a bloquear componentes anteriores até ao NetworkListener. Consulte o Processo de Componentes ATA acima. Verifica se não há problemas com a CPU ou a memória. |
| Microsoft ATA Gateway\NetworkListener ETW Eventos Abandonados\Sec | A quantidade de tráfego que está a ser descartada pelo ATA Gateway a cada segundo. | Este número deve ser zero a todo o tempo (curtos e raros períodos de quedas são aceitáveis). | Verifique se há algum componente que atingiu o seu tamanho máximo e está a bloquear componentes anteriores até ao NetworkListener. Consulte o Processo de Componentes ATA acima. Verifica se não há problemas com a CPU ou a memória. |
| Microsoft ATA Gateway\NetworkActivityTranslator Dados de Mensagem # Tamanho do Bloco | A quantidade de tráfego enfileirado para tradução para Atividades de Rede (NAs). | Deve ser inferior ao máximo-1 (máximo padrão: 100.000) | Verifique se há algum componente que atingiu o seu tamanho máximo e está a bloquear componentes anteriores até ao NetworkListener. Consulte o Processo de Componentes ATA acima. Verifica se não há problemas com a CPU ou a memória. |
| Microsoft ATA Gateway\EntityResolver Tamanho do Bloco de Atividade | O número de Atividades de Rede (NAs) que estão na fila para serem resolvidas. | Deve ser inferior ao máximo-1 (máximo padrão: 10.000) | Verifique se há algum componente que atingiu o seu tamanho máximo e está a bloquear componentes anteriores até ao NetworkListener. Consulte o Processo de Componentes ATA acima. Verifica se não há problemas com a CPU ou a memória. |
| Microsoft ATA Gateway\EntitySender Tamanho do Bloco de Batch da Entidade | A quantidade de Atividades de Rede (NAs) em fila a serem enviadas para o Centro ATA. | Deve ser inferior ao máximo-1 (máximo padrão: 1.000.000) | Verifique se há algum componente que atingiu o seu tamanho máximo e está a bloquear componentes anteriores até ao NetworkListener. Consulte o Processo de Componentes ATA acima. Verifica se não há problemas com a CPU ou a memória. |
| Microsoft ATA Gateway\EntitySender Tempo de Envio em Lote | O tempo que demorou a enviar o último lote. | Deve ser menos de 1000 milissegundos na maior parte do tempo | Verifique se há problemas de rede entre o ATA Gateway e o ATA Center. |
Observação
- Os contadores temporizados são medidos em milissegundos.
- Por vezes, é mais conveniente monitorizar a lista completa dos contadores usando o tipo de gráfico de relatório (exemplo: monitorização em tempo real de todos os contadores)
Contadores de desempenho do ATA Lightweight Gateway
Os contadores de desempenho podem ser usados para gestão de quotas no Gateway Leve, para garantir que o ATA não consome demasiados recursos dos controladores de domínio onde está instalado. Para medir as limitações de recursos que o ATA impõe ao Lightweight Gateway, adicione estes contadores.
Isto faz-se abrindo Performance Monitor e adicionando todos os contadores para o ATA Lightweight Gateway. Os nomes dos objetos contador de desempenho são: Microsoft ATA Gateway e Microsoft ATA Gateway Updater.
| Contador | Descrição | Limite | Troubleshooting |
|---|---|---|---|
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Tempo de CPU Máximo % | A quantidade máxima de tempo de CPU (em percentagem) que o processo Lightweight Gateway pode consumir. | Sem limiar. | Esta é a limitação que protege os recursos do controlador de domínio de serem usados pelo ATA Lightweight Gateway. Se vires que o processo atinge o limite máximo, muitas vezes ao longo de um período de tempo (o processo atinge o limite e depois começa a perder tráfego), significa que precisas de adicionar mais recursos ao servidor que corre o controlador de domínio. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Tamanho Máximo da Memória Comprometida | A quantidade máxima de memória comprometida (em bytes) que o processo Lightweight Gateway pode consumir. | Sem limiar. | Esta é a limitação que protege os recursos do controlador de domínio de serem usados pelo ATA Lightweight Gateway. Se vir que o processo atinge o limite máximo frequentemente ao longo de um período de tempo (o processo atinge o limite e depois começa a perder tráfego), significa que precisa de adicionar mais recursos ao servidor que executa o controlador de domínio. |
| Microsoft ATA Gateway Updater\GatewayUpdaterResourceManager Tamanho Limite do Conjunto de Trabalho | A quantidade máxima de memória física (em bytes) que o processo Lightweight Gateway pode consumir. | Sem limiar. | Esta é a limitação que protege os recursos do controlador de domínio de serem usados pelo ATA Lightweight Gateway. Se vir que o processo atinge o limite máximo frequentemente ao longo de um período de tempo (o processo atinge o limite e depois começa a perder tráfego), significa que precisa de adicionar mais recursos ao servidor que executa o controlador de domínio. |
Para ver o seu consumo real, consulte os seguintes contadores:
| Contador | Descrição | Limite | Troubleshooting |
|---|---|---|---|
| Processo (Microsoft.Tri.Gateway) %Tempo do Processador | A quantidade de tempo de CPU (em percentagem) que o processo Lightweight Gateway está realmente a consumir. | Sem limiar. | Compare os resultados deste contador com o limite encontrado no GatewayUpdaterResourceManager CPU Time Max %. Se vir que o processo atinge o limite máximo frequentemente ao longo de um período de tempo (o processo atinge o limite e depois começa a perder tráfego), significa que precisa de dedicar mais recursos ao Gateway Leve. |
| Processo (Microsoft.Tri.Gateway)\Bytes Privados | A quantidade de memória comprometida (em bytes) que o processo Lightweight Gateway está efectivamente a utilizar. | Sem limiar. | Compare os resultados deste contador com o limite encontrado no GatewayUpdaterResourceManager Commit Memory Max Size. Se vir que o processo atinge o limite máximo frequentemente ao longo de um período de tempo (o processo atinge o limite e depois começa a perder tráfego), significa que precisa de dedicar mais recursos ao Gateway Leve. |
| Processo (Microsoft.Tri.Gateway)\Conjunto Operacional | A quantidade de memória física (em bytes) que o processo Lightweight Gateway está realmente a consumir. | Sem limiar. | Compare os resultados deste contador com o limite encontrado no GatewayUpdaterResourceManager Working Set Limit Size. Se vir que o processo atinge o limite máximo frequentemente ao longo de um período de tempo (o processo atinge o limite e depois começa a perder tráfego), significa que precisa de dedicar mais recursos ao Gateway Leve. |
Contadores de desempenho do ATA Center
Pode observar o estado de desempenho em tempo real do ATA Center adicionando os contadores de desempenho do ATA Center.
Isto faz-se abrindo Performance Monitor e adicionando todos os contadores para o ATA Center. O nome do objeto contador de desempenho é: Microsoft ATA Center.
Aqui está a lista dos principais contadores do ATA Center a ter em conta:
| Contador | Descrição | Limite | Troubleshooting |
|---|---|---|---|
| Microsoft ATA Center\EntityReceiver Tamanho do Bloco de Lote da Entidade | O número de lotes de entidades em fila no Centro ATA. | Deve ser inferior ao máximo-1 (máximo padrão: 10.000) | Verifique se há algum componente que atingiu o seu tamanho máximo e está a bloquear componentes anteriores até ao NetworkListener. Consulte o Processo de Componentes ATA anterior. Verifica se não há problemas com a CPU ou a memória. |
| Tamanho do Bloco de Atividade de Rede do Microsoft ATA Center\NetworkActivityProcessor | O número de Atividades de Rede (NAs) em fila para processamento. | Deve ser inferior ao máximo-1 (máximo padrão: 50.000) | Verifique se há algum componente que atingiu o seu tamanho máximo e está a bloquear componentes anteriores até ao NetworkListener. Consulte o Processo de Componente ATA mencionado anteriormente. Verifica se não há problemas com a CPU ou a memória. |
| Microsoft ATA Center\EntityProfiler Tamanho do Bloco de Atividade de Rede | O número de Atividades de Rede (NAs) em espera para perfilização. | Deve ser inferior ao máximo-1 (máximo padrão: 100.000) | Verifique se há algum componente que atingiu o seu tamanho máximo e está a bloquear componentes anteriores até ao NetworkListener. Consulte o Processo de Componente ATA anterior. Verifica se não há problemas com a CPU ou a memória. |
| Microsoft ATA Center\Database * Tamanho do Bloco | O número de Atividades de Rede, de um tipo específico, colocadas em fila para serem escritas na base de dados. | Deve ser inferior ao máximo-1 (máximo padrão: 50.000) | Verifique se há algum componente que atingiu o seu tamanho máximo e está a bloquear componentes anteriores até ao NetworkListener. Consulte o Processo de Componente ATA anterior. Verifica se não há problemas com a CPU ou a memória. |
Observação
- Os contadores temporizados estão em milissegundos
- Por vezes, é mais conveniente monitorizar a lista completa dos contadores usando o tipo de gráfico para o Relatório (exemplo: monitorização em tempo real de todos os contadores).
Contadores do sistema operativo
A tabela seguinte lista os principais contadores do sistema operativo a ter em conta:
| Contador | Descrição | Limite | Troubleshooting |
|---|---|---|---|
| Processador(_Total)% Tempo do Processador | A percentagem de tempo transcorrido que o processador gasta a executar uma thread não ociosa. | Menos de 80% em média | Verifica se existe algum processo específico que esteja a consumir muito mais tempo de processamento do que deveria. Adicionar mais processadores. Reduzir o tráfego por servidor. O contador "Processor(_Total)% Processor Time" pode ser menos preciso em servidores virtuais, caso em que a forma mais precisa de medir a falta de potência do processador é através do contador "System\Processor Queue Length". |
| Sistema\Mudanças de Contexto\seg | A taxa combinada a que todos os processadores são transferidos de um thread para outro. | Menos de 5000*núcleos (núcleos físicos) | Verifica se existe algum processo específico que esteja a consumir muito mais tempo de processamento do que deveria. Adicionar mais processadores. Reduzir o tráfego por servidor. O contador "Processor(_Total)% Processor Time" pode ser menos preciso em servidores virtuais, caso em que a forma mais precisa de medir a falta de potência do processador é através do contador "System\Processor Queue Length". |
| Comprimento da Fila do Sistema\Processador | O número de threads prontos para executar e à espera de serem agendados. | Menos de cinco*núcleos (núcleos físicos) | Verifica se existe algum processo específico que esteja a consumir muito mais tempo de processamento do que deveria. Adicionar mais processadores. Reduzir o tráfego por servidor. O contador "Processor(_Total)% Processor Time" pode ser menos preciso em servidores virtuais, caso em que a forma mais precisa de medir a falta de potência do processador é através do contador "System\Processor Queue Length". |
| Memória\MB disponíveis | A quantidade de memória física (RAM) disponível para alocação. | Deve ser mais do que 512 | Verifica se existe algum processo específico que esteja a consumir muito mais memória física do que deveria. Aumenta a quantidade de memória física. Reduzir o tráfego por servidor. |
| LogicalDisk(*)\Tempo Médio do Disco sec\Leitura | A latência média para leitura de dados do disco (deve escolher o disco da base de dados como instância). | Deve ser menos de 10 milissegundos | Verifica se existe algum processo específico que esteja a utilizar o disco da base de dados mais do que deveria. Consulte a sua equipa/fornecedor de armazenamento se este disco consegue entregar a carga de trabalho atual com menos de 10 ms de latência. A carga de trabalho atual pode ser determinada utilizando os contadores de utilização do disco. |
| LogicalDisk(*)\Tempo médio de disco (segundos)\Escrita | A latência média para gravar dados no disco (deve escolher a unidade de base de dados como instância). | Deve ser menos de 10 milissegundos | Verifica se existe algum processo específico que esteja a utilizar o disco da base de dados mais do que deveria. Consulte a sua equipa de armazenamento/fornecedor se este disco consegue entregar a carga de trabalho atual com menos de 10 ms de latência. A carga de trabalho atual pode ser determinada utilizando os contadores de utilização do disco. |
| \DiscoLógico(*)\Leituras de Disco\seg | A taxa de realização de operações de leitura no disco. | Sem limiar | Contadores de utilização de disco podem acrescentar informações ao resolver problemas com a latência de armazenamento. |
| \UnidadeLógica(*)\Bytes de Leitura do Disco\seg | O número de bytes por segundo que estão a ser lidos do disco. | Sem limiar | Contadores de utilização de disco podem acrescentar informações ao resolver problemas com a latência de armazenamento. |
| \LogicalDisk*\Escritas no Disco\seg | A taxa de execução de operações de escrita no disco. | Sem limiar | Contadores de utilização de disco (podem adicionar informações ao resolver problemas da latência de armazenamento) |
| \LogicalDisk(*)\Bytes de Escrita do Disco/seg | O número de bytes por segundo que estão a ser escritos no disco. | Sem limiar | Contadores de utilização de disco podem acrescentar informações ao resolver problemas com a latência de armazenamento. |