使用性能计数器排查 ATA 问题
9/25/2018
本文内容
适用范围:Advanced Threat Analytics 1.9 版**
ATA 性能计数器提供有关每个 ATA 组件执行情况的洞察信息。 ATA 中的组件按顺序处理数据,当出现问题时,它可能会导致组件链某处流量的部分下降。 为了修复此问题,必须找出产生反作用的组件并在链的开端修复此问题。 使用性能计数器中的数据来了解每个组件的工作原理。
请参阅 ATA 体系结构,了解内部 ATA 组件的流程。
ATA 组件进程:
当某个组件达到其最大大小时,会阻止前一个组件向其发送更多实体。
最终,前一个组件 自身 的大小会不断递增,直到阻止它前面的组件发送更多实体。
发生这种问题的源头在于 NetworkListener 组件,当该组件无法再转发实体时,会丢弃流量。
检索性能监视器文件进行故障排除
若要从各种 ATA 组件中检索性能监视器文件 (BLG):
打开 PerfMon。
停止名为“Microsoft ATA 网关”或“Microsoft ATA 中心”的数据收集器集。
转到数据收集器集文件夹(默认为“C:\Program Files\Microsoft Advanced Threat Analytics\Gateway\Logs\DataCollectorSets”或“C:\Program Files\Microsoft Advanced Threat Analytics\Center\Logs\DataCollectorSets”)。
复制最近修改的 BLG 文件。
重启名为“Microsoft ATA 网关”或“Microsoft ATA 中心”的数据收集器集。
ATA 网关性能计数器
此部分中的所有 ATA 网关的引用都是指 ATA 轻型网关。
可以通过添加 ATA 网关的性能计数器来观察 ATA 网关的实时性能状态。
为此,可打开“性能监视器”,然后添加 ATA 网关的所有计数器。 性能计数器对象的名称是:“Microsoft ATA 网关”。
下面要注意的主要 ATA 网关计数器列表:
计数器
说明
阈值
故障排除
Microsoft ATA Gateway\NetworkListener PEF Parsed Messages\Sec
ATA 网关每秒处理的流量大小。
无阈值
帮助你了解 ATA 网关正在分析的流量大小。
NetworkListener PEF Dropped Events\Sec
ATA 网关每秒丢弃的流量大小。
此数字应始终为零(只可接受极短的丢包喷发)。
检查是否有任何组件达到了其最大大小,并且一直在阻止前面的组件向 NetworkListener 发送流量。 请参阅上面的 ATA 组件进程。
检查 CPU 或内存是否未出现问题。
Microsoft ATA Gateway\NetworkListener ETW Dropped Events\Sec
ATA 网关每秒丢弃的流量大小。
此数字应始终为零(只可接受极短的丢包喷发)。
检查是否有任何组件达到了其最大大小,并且一直在阻止前面的组件向 NetworkListener 发送流量。 请参阅上面的 ATA 组件进程。
检查 CPU 或内存是否未出现问题。
Microsoft ATA Gateway\NetworkActivityTranslator Message Data # Block Size
排队等待转换成网络活动 (NA) 的流量大小。
应小于“最大值-1”(默认最大值:100,000)
检查是否有任何组件达到了其最大大小,并且一直在阻止前面的组件向 NetworkListener 发送流量。 请参阅上面的 ATA 组件进程。
检查 CPU 或内存是否未出现问题。
Microsoft ATA Gateway\EntityResolver Activity Block Size
排队等待解析的网络活动 (NA) 数量。
应小于“最大值-1”(默认最大值:10,000)
检查是否有任何组件达到了其最大大小,并且一直在阻止前面的组件向 NetworkListener 发送流量。 请参阅上面的 ATA 组件进程。
检查 CPU 或内存是否未出现问题。
Microsoft ATA Gateway\EntitySender Entity Batch Block Size
排队等待发送到 ATA 中心的网络活动 (NA) 数量。
应小于“最大值-1”(默认最大值:1,000,000)
检查是否有任何组件达到了其最大大小,并且一直在阻止前面的组件向 NetworkListener 发送流量。 请参阅上面的 ATA 组件进程。
检查 CPU 或内存是否未出现问题。
Microsoft ATA Gateway\EntitySender Batch Send Time
发送最后一个批所花费的时间。
大多数情况下应小于 1000 毫秒
检查 ATA 网关与 ATA 中心之间是否有任何网络问题。
备注
计时计数器以毫秒为单位。
有时,使用“报表”图表类型可以更方便地监视计数器的完整列表(示例:实时监视所有计数器)
ATA轻型网关性能计数器
性能计数器可以用于轻型网关中的配额管理,以确保 ATA 不会消耗其所在的域控制器的太多资源。
若要度量 ATA 对轻型网关强制实施的资源限制,请添加以下计数器.
为此,可打开“性能监视器”,然后添加 ATA 轻型网关的所有计数器。 性能计数器对象的名称为:“Microsoft ATA 网关”和“Microsoft ATA 网关更新程序”。
计数器
说明
阈值
故障排除
Microsoft ATA 网关更新程序\GatewayUpdaterResourceManager CPU 时间百分比最大值
轻型网关进程可以消耗的最长 CPU 时间(以百分比计)。
无阈值。
这是防止域控制器资源被 ATA 轻型网关用完的限制。 如果你看到进程在一段时间内经常达到最大限制(进程达到限制,然后开始导致流量下降),则表示你需要将更多的资源添加到运行域控制器的服务器。
Microsoft ATA 网关更新程序\GatewayUpdaterResourceManager 提交内存最大大小
轻型网关进程可以消耗的最大提交内存量(以字节计)。
无阈值。
这是防止域控制器资源被 ATA 轻型网关用完的限制。 如果你看到进程在一段时间内经常达到最大限制(进程达到限制,然后开始导致流量下降),则表示你需要将更多的资源添加到运行域控制器的服务器。
Microsoft ATA 网关更新程序\GatewayUpdaterResourceManager 工作集限制大小
轻型网关进程可以消耗的最大物理内存量(以字节计)。
无阈值。
这是防止域控制器资源被 ATA 轻型网关用完的限制。 如果你看到进程在一段时间内经常达到最大限制(进程达到限制,然后开始导致流量下降),则表示你需要将更多的资源添加到运行域控制器的服务器。
若要查看实际消耗量,请参阅以下计数器:
计数器
说明
阈值
故障排除
进程(Microsoft.Tri.Gateway)%处理器时间
轻型网关进程实际上消耗的 CPU 时间(以百分比计)。
无阈值。
将此计数器的结果与 GatewayUpdaterResourceManager CPU 时间百分比最大值中发现的限制进行比较。 如果你看到进程在一段时间内经常达到最大限制(进程达到限制,然后开始导致流量下降),则表示你需要将更多的资源集中到轻型网关。
进程(Microsoft.Tri.Gateway)\专用字节数
轻型网关进程实际上消耗的提交内存量(以字节计)。
无阈值。
将此计数器的结果与 GatewayUpdaterResourceManager 提交内存最大大小中发现的限制进行比较。 如果你看到进程在一段时间内经常达到最大限制(进程达到限制,然后开始导致流量下降),则表示你需要将更多的资源集中到轻型网关。
进程(Microsoft.Tri.Gateway)\工作集
轻型网关进程实际上消耗的物理内存量(以字节计)。
无阈值。
将此计数器的结果与 GatewayUpdaterResourceManager 工作集限制大小中发现的限制进行比较。 如果你看到进程在一段时间内经常达到最大限制(进程达到限制,然后开始导致流量下降),则表示你需要将更多的资源集中到轻型网关。
ATA 中心性能计数器
你可以通过添加 ATA Center 的性能计数器来观察 ATA Center 的实时性能状态。
为此,可打开“性能监视器”,然后添加 ATA 中心的所有计数器。 性能计数器对象的名称是:“Microsoft ATA 中心”。
下面要注意的主要 ATA 中心计数器列表:
计数器
说明
阈值
故障排除
Microsoft ATA 中心\EntityReceiver 实体批块大小
由 ATA 中心排队的实体批数。
应小于“最大值-1”(默认最大值:10,000)
检查是否有任何组件达到了其最大大小,并且一直在阻止前面的组件向 NetworkListener 发送流量。 请参阅上面的 ATA 组件进程。
检查 CPU 或内存是否未出现问题。
Microsoft ATA 中心\NetworkActivityProcessor 网络活动块大小
排队等待处理的网络活动 (NA) 数量。
应小于“最大值-1”(默认最大值:50,000)
检查是否有任何组件达到了其最大大小,并且一直在阻止前面的组件向 NetworkListener 发送流量。 请参阅上面的 ATA 组件进程。
检查 CPU 或内存是否未出现问题。
Microsoft ATA 中心\EntityProfiler 网络活动块大小
排队等待分析的网络活动 (NA) 数量。
应小于“最大值-1”(默认最大值:100,000)
检查是否有任何组件达到了其最大大小,并且一直在阻止前面的组件向 NetworkListener 发送流量。 请参阅上面的 ATA 组件进程。
检查 CPU 或内存是否未出现问题。
Microsoft ATA Center\Database * Block Size
特定类型的、排队等待写入数据库的网络活动数。
应小于“最大值-1”(默认最大值:50,000)
检查是否有任何组件达到了其最大大小,并且一直在阻止前面的组件向 NetworkListener 发送流量。 请参阅上面的 ATA 组件进程。
检查 CPU 或内存是否未出现问题。
备注
计时计数器以毫秒为单位
有时,使用“报告”图表类型可以更方便地监视计数器的完整列表(示例:实时监视所有计数器)。
操作系统计数器
下表列出了要注意的主要操作系统计数器:
计数器
说明
阈值
故障排除
Processor(_Total)% Processor Time
处理器执行非空闲线程所用时间的百分比。
平均值小于 80%
检查是否有特定的进程花费的处理器时间超过了预期。
添加更多处理器。
减少每个服务器的流量大小。
虚拟服务器上的“Processor(_Total)% Processor Time”计数器可能不太准确,在这种情况下,测量处理器能力不足的更准确方法是通过“System\Processor Queue Length”计数器。
System\Context Switches\sec
从该处的所有处理器都从一个线程都切换到另一个综合的速率。
小于 5000 个* 核心(物理核心)
检查是否有特定的进程花费的处理器时间超过了预期。
添加更多处理器。
减少每个服务器的流量大小。
虚拟服务器上的“Processor(_Total)% Processor Time”计数器可能不太准确,在这种情况下,测量处理器能力不足的更准确方法是通过“System\Processor Queue Length”计数器。
System\Processor Queue Length
已准备好执行并等待调度的线程数。
小于 5 个* 核心(物理核心)
检查是否有特定的进程花费的处理器时间超过了预期。
添加更多处理器。
减少每个服务器的流量大小。
虚拟服务器上的“Processor(_Total)% Processor Time”计数器可能不太准确,在这种情况下,测量处理器能力不足的更准确方法是通过“System\Processor Queue Length”计数器。
Memory\Available MBytes
可用于分配的物理内存 (RAM) 量。
应大于 512
检查是否有特定的进程花费的物理内存量超过了预期。
增大物理内存量。
减少每个服务器的流量大小。
逻辑磁盘 (*) \Avg. 磁盘 sec\Read
从磁盘读取数据发生的平均延迟(你应选择数据库驱动器作为实例)。
应小于 10 毫秒
检查是否有特定的进程占用数据库驱动器的时间超过了预期。
如果此驱动器可以提供当前工作负荷,并且延迟小于 10 毫秒,请咨询你的存储团队/供应商。 可以使用磁盘利用率计数器确定当前工作负荷。
逻辑磁盘 (*) \Avg. 磁盘 sec\Write
向磁盘写入数据发生的平均延迟(你应选择数据库驱动器作为实例)。
应小于 10 毫秒
检查是否有特定的进程占用数据库驱动器的时间超过了预期。
如果此驱动器可以提供当前工作负荷,并且延迟小于 10 毫秒,请咨询你的存储团队/供应商。 可以使用磁盘利用率计数器确定当前工作负荷。
\LogicalDisk(*)\Disk Reads\sec
向磁盘执行读取操作的速率。
无阈值
磁盘利用率计数器可以在排查存储延迟问题时添加洞察信息。
\LogicalDisk(*)\Disk Read Bytes\sec
每秒从磁盘读取的字节数。
无阈值
磁盘利用率计数器可以在排查存储延迟问题时添加洞察信息。
\LogicalDisk*\Disk Writes\sec
向磁盘执行写入操作的速率。
无阈值
磁盘利用率计数器(可以在排查存储延迟问题时添加洞察信息)
\LogicalDisk(*)\Disk Write Bytes\sec
每秒向磁盘写入的字节数。
无阈值
磁盘利用率计数器可以在排查存储延迟问题时添加洞察信息。
另请参阅
2705
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
