Лекция №10. Мониторинг системы

Системная служба Журнал событий запускается по умолчанию и регистрирует события в трех журналах (в зависимости от роли сервера журналов может быть больше):

· Приложение (содержит информацию об изменении конфигурации в системе);

· Система (содержит данные о системных событиях);

· Безопасность (содержит записи о событиях входа в систему и о доступе к ресурсам).

Для поиска определенных событий в файлах журналов можно использовать фильтры по типам события источнику события и прочим параметрам. Также можно настраивать максимальный размер файла журналов и задавать поведению системы при достижении файлом Журнала максимально заданного размера: Затирать старые события по необходимости (события всегда перезаписываются); Затирать события старее n-дней (перезаписываются события, дата создания которых раньше установленной); Не затирать события (файлы журнала очищаются вручную, а до этого события перестают регистрироваться).

Чтобы не потерять информацию из файлов журналов необходимо либо ежедневно их архивировать, либо с помощью политики безопасности заставлять компьютер перезагружаться, если события не могут быть записаны в системные журналы.

Контролировать производительность системы можно с помощью одноименной консоли, в которой можно анализировать данные множества счетчиков. Данная консоль может собирать данные на локальном или удаленном компьютере. Также можно задавать интервалы снятия показаний счетчиков. Счетчики можно добавлять и удалять. Счетчики упорядочены по типам объектов, для контроля за которыми они применяются, видам и экземплярам. Экземпляров счетчика может быть несколько, например, если один и тот же счетчик следит за производительностью разных жестких дисков. Также можно использовать сводные счетчики, тогда значение его экземпляра равно не порядковому номеру, а «_Total». При использовании оснастки Журналы и оповещение производительности можно просматривать данные счетчиков параллельно с их записей в журнал и при превышении пороговых значений счетчиков направлять соответствующее сообщение администратору по электронной почте.

Не зависимо от стратегии выбора счетчиков необходимо сначала сформировать так называемую базовую линию (Base Line): записать показания выбранных счетчиков при нормальной работе компьютера. Эти показания в дальнейшем станут эталоном в сравнении с текущими показаниями счетчиков при мониторинге.

Существуют два метода выбора счетчиков: в зависимости от роли сервера и анализ базовых подсистем компьютера. В любом случае желательно контролировать совокупности счетчиков, относящихся к работе памяти, процессора, дисковой подсистемы и сетевым интерфейсам.

Полезной утилитой является программа Диспетчер задач. С ее помощью можно узнать о том, какие процессы и приложения запущены на компьютере, от имени каких пользователей осуществляются те или иные операции, получить информацию о некоторых счетчиках, связанных с памятью и сетью, и просмотреть список пользователей, использующих компьютер удаленно. Запущенные приложения и процессы можно прерывать и запускать вновь, пользователей, вошедших в систему, можно принудительно отключать.

В Windows Server 2003 реализована технология Инструментарий управления Windows (WMI). Это специализированный интерфейс на основе базы данных, в которой собираются сведения о различных компонентах системы. В зависимости от этого администратор может ими управлять. На основе технологии WMI созданы оснастки Сведения о системе, Свойства системы, Службы и пр. Использовать технологию WMI можно из командной строки с помощью утилиты WMIC. С помощью данной утилиты можно управлять локальным компьютером, составлять административные сценарии или удаленно управлять одним или несколькими компьютерами.