Verwalten der Schwellenwerte für die Sensorlaufzeit

Überblick über Schwellenwerte für Sensorlaufzeiten

Die Zeit, die ein Tanium Client benötigt, um eine Frage auszuführen, variiert stark, je nachdem welche und wie viele Sensoren die Frage aufruft. Um Ihnen dabei zu helfen, die Auswirkungen der Ausführung von Tanium-Fragen auf Endpunktressourcen zu bewerten, können Sie die Sensor-Laufzeitschwellenwerte anpassen, die Indikatorsymbole in der Tanium Console auslösen die Indikatorsymbole anzeigen, die auf den Sensor-Laufzeitschwellenwerten basieren.

Abbildung 1:  Sensorlaufzeit-Indikatoren

Sie benötigen mit Ihrem Benutzerkonto die reservierte Administrator-Rolle, um die Seite Administration > Configuration (Konfiguration) > Common (Allgemeine) > Sensor Thresholds (Sensorschwellenwerte) anzeigen und verwenden zu können.

Der Tanium Client verfolgt die Laufzeit für jeden Sensor, wenn eine Frage ihn ausführt, berechnet den Durchschnitt aller vergangenen Laufzeiten für diesen Sensor und sendet die aktualisierten Laufzeitinformationen alle drei Stunden an den Tanium Server. Der Tanium Server berechnet die durchschnittliche Laufzeit basierend auf den neuesten Updates aller Endpunkte, die Laufzeiten für den Sensor gemeldet haben.

Die folgende Tabelle beschreibt die Schwellenwertsymbole und ihre Standardbeschriftungen und -werte.

 Tabelle 1: Symbole für
Schwellenwertsymbol Beschreibung
Nicht ausgeführt Der Tanium Server hat noch keine Laufzeitinformationen von Endpunkten für diesen Sensor erhalten.

Dieses Symbol wird auch für integrierte Sensoren angezeigt, unabhängig von ihren Laufzeiten. Der Tanium Server zeichnet keine Laufzeitstatistiken für integrierte Sensoren auf und berücksichtigt diese Sensoren nicht bei der Berechnung von Laufzeiten für Fragen, die sie verwenden. Zu den integrierten Sensoren gehören:

  • Aktionsstatus
  • Status herunterladen
  • Computername
  • Computer-ID
  • Manuelle Gruppenmitgliedschaft
  • IP-Adresse
Häkchen Unter jedem Schwellenwert Der Laufzeitdurchschnitt für eine einen Sensor überschreitet keinen Schwellenwert.
Niedrig Der Laufzeitdurchschnitt überschreitet den niedrigen Schwellenwert, aber nicht den mittleren Schwellenwert. Standardmäßig liegt der niedrige Schwellenwert bei 100 ms. Sie können den Schwellenwert und die Beschriftung anpassen.
Mittlere Laufzeit Mittel Der Laufzeitdurchschnitt überschreitet den mittleren Schwellenwert, aber nicht den hohen Schwellenwert. Standardmäßig liegt der mittlere Schwellenwert bei 500 ms. Sie können den Schwellenwert und die Beschriftung anpassen.
Hohe Laufzeit Hoch Der Laufzeitdurchschnitt überschreitet den hohen Schwellenwert, der standardmäßig 1.000 ms für Sie können den Schwellenwert und die Beschriftung anpassen.

Beachten Sie beim Anzeigen von Schwellenwertindikatoren die folgenden Vorsichtsmaßnahmen:

  • Der Tanium Server verwendet beim Berechnen von Laufzeitdurchschnitts keine zwischengespeicherten Antworten auf Fragen.
  • Sensoren, die ein Datensampling erfordern, überschreiten häufiger höhere Laufzeitschwellenwerte. Die längeren Laufzeiten, die für das Sampling erforderlich sind, weisen allerdings nicht unbedingt auf eine hohe Ressourcennutzung hin, wenn Endpunkte diese Sensoren ausführen. Tanium Support. Die betroffenen Sensoren beinhalten:
    • CPU nach Prozess
    • CPU-Verbrauch
    • Festplatten-IOPS
    • Hoher CPU-Verbrauch
    • Hohe CPU-Prozesse
    • Netzwerkdurchsatz eingehend
    • Netzwerkdurchsatz ausgehend
    • SQL Server CPU-Verbrauch
    • Tanium Client-CPU

Bevor Sie beginnen

Arbeiten Sie mit Ihrem Tanium-Support zusammen (siehe Tanium Support), um die Laufzeitschwellenwerte zu bestimmen, von denen Sie erwarten, dass sie die Entscheidungen des Administrators darüber beeinflussen, ob eine Frage ausgeführt werden soll, wie oft sie ausgeführt werden soll und welche Sensoren in die Frage einbezogen werden sollen. Das Ziel ist es, Fragen auf eine Art und Weise zu planen, die keine anderen, wichtigeren Aufgaben, die Endpunkten ausführen, beeinträchtigen.

Legen Sie Schwellenwerte fest, die die Entscheidungen widerspiegeln, die Tanium-Benutzer basierend auf den Richtlinien der Endpunktverwaltung Ihres Unternehmens treffen müssen. So können beispielsweise Richtlinien vorgeben, dass Benutzer während Spitzenzeiten des Datenverkehrs an Endpunkten, die Aufgaben mit einer höheren Priorität als die Beantwortung von Fragen ausführen, keine Fragen ausführen dürfen, die länger als 10 Sekunden dauern.

Sensorschwellenwerte konfigurieren

Die Tanium Console zeigt standardmäßig Schwellenwertindikatoren an. Sie können die Standardschwellenwerte jedoch wie folgt ändern.

  1. Gehen Sie im Hauptmenü zu Administration > Configuration (Konfiguration)> Common (Allgemein) > Sensor Thresholds (Sensorschwellenwerte).
  2. Wählen Sie aus, ob die Tanium-Konsole Display thresholds to (Schwellenwerte anzeigen für) nur die Benutzer von Tanium mit vordefinierten administrativen Rollen (Administrator) oder für alle Benutzer, die Fragen und Sensoren sehen dürfen (Administrator und Benutzer) anzeigen soll.
  3. Legen Sie die durchschnittliche Laufzeit (in Millisekunden) für jeden Schwellenwert (Hoch, Mittel und Niedrig) fest oder akzeptieren Sie die Standardwerte und klicken Sie dann auf Save (Speichern).

    Die aktuelle Version unterstützt Laufzeitindikatoren nur für Sensoren. Ignorieren Sie die Laufzeitschwellenwerte für Question (Frage).

Sensorschwellenwerte überprüfen

Die Schwellenwert-Indikatorsymbole werden angezeigt, wo immer Sie Sensoren in der Tanium Console anzeigen und auswählen. Überprüfen Sie nach dem Ändern von Schwellenwerten, ob der Tanium Server Ihre Änderungen übernommen hat.

Die Seite Administration > Content (Inhalt) > Sensors (Sensoren) zeigt die Laufzeitstatistik für alle Sensoren an.

  1. Gehen Sie zur Tanium-Startseite oder zur Interact-Seite Overview (Übersicht).
  2. Geben Sie im Feld Explore Data (Daten erkunden) eine Frage ein, die einen Sensor verwendet, von dem erwartet wird, dass er eine kurze Laufzeit hat, wie z. B. Computername, und einen Sensor, von dem erwartet wird, dass er eine lange Laufzeit hat, wie z. B. die Ausführung von Prozessen des Benutzers. Zum Beispiel: Computernamen und anwendbare Patches von allen Maschinen abrufen. Drücken Sie die Eingabetaste, um eine Liste der vorgeschlagenen Fragen anzuzeigen.
  3. Stellen Sie sicher, dass die Liste der vorgeschlagenen Fragen die erwarteten Schwellenwertsymbole anzeigt. Wenn Sie unerwartete Indikatoren sehen, überprüfen Sie die Symbolbeschreibungen und Vorsichtsmaßnahmen, die in Überblick über Schwellenwerte für Sensorlaufzeiten beschrieben werden.
  4. Bewegen Sie die Maus über das Symbol der vorgeschlagenen Frage, und stellen Sie sicher, dass das Popup-Fenster die erwartete Laufzeit (in Millisekunden) und die erwarteten Schwellenwertsymbole für jeden Sensor anzeigt.