Опубликован: 19.02.2008 | Уровень: специалист | Доступ: платный
Лекция 9:

Мониторинг

Аннотация: Данная лекция посвящена вопросам мониторинга сетевых узлов и состоит из четырех частей: 1)просмотр событий, регистрируемых системой; 2)аудит, т.е. целенаправленное отслеживание определенных видов событий; 3)мониторинг производительности; 4)мониторинг сетевой активности

Задача сетевого администратора сводится к обеспечению работы сетевых систем. Статус системных ресурсов и их загруженность радикально меняются со временем, причем не всегда так, как хочется пользователям и сетевому администратору — останавливаются службы, файловая система испытывает недостаток свободного места, ошибки приложений приводят к системным проблемам, в сеть пытаются проникнуть неавторизованные пользователи. Мониторинг сетевых устройств — это постоянное наблюдение за деятельностью данных устройств, поиск проблем и неисправностей в их работе, принятие решений о ликвидации проблем и неисправностей, повышению эффективности функционирования устройств.

Данный раздел посвящен вопросам мониторинга состояния сетевых узлов на базе систем Windows Server. В разделе обсуждаются вопросы, связанные с просмотром системных событий, аудитом доступа к ресурсам, мониторингом производительности серверов, поиска узких мест в их работе и выработки решений о ликвидации этих узких мест, а также мониторинга сетевой активности.

Мониторинг сетевых устройств. Мониторинг серверов (просмотр событий, аудит, мониторинг производительности, определение узких мест, мониторинг сетевой активности)

Просмотр событий

Одно из самых часто используемых и наиболее важных средств мониторинга системы — это регистрация различных событий в журналах операционной системы Windows. Регистрацию событий в системе Windows осуществляет служба " Журнал событий " ( Event Log ). В любой системе семейства Windows всегда присутствуют 3 журнала:

  • журнал " Система " ( System ) — события, записанные в журнал компонентами операционной системы (например, сбой в запуске службы при перезагрузке); расположение журнала по умолчанию — в папке " %SystemRoot%\system32\config\SysEvent.Evt ";
  • журнал " Безопасность " ( Security ) — регистрация событий, относящихся к системе безопасности (например, попытки регистрации пользователей, изменения в политиках безопасности, попытки доступа к различным ресурсам); набор событий, регистрируемых в журнале " Безопасность ", настраивается локальной или групповых политик (об управлении аудитом событий безопасности — в следующем подразделе); расположение по умолчанию — " %SystemRoot%\system 32\соnfig\SecEvent.Evt ";
  • журнал " Приложение " ( Application ) — события, порожденные различными приложениями (например, сбой MS SQL при доступе к базе данных); набор событий, регистрируемых в журнале " Приложения ", определяется разработчиками приложений; расположение по умолчанию — " %SystemRoot%\system32\config\AppEvent.Evt ".

При установке в системе каких-либо компонент могут появиться журналы, регистрирующие события, относящиеся к работе данных компонент.

При установке службы DNS появляется журнал " DNS-сервер " ( DNS Server ), регистрирующий события, связанные с работой службы DNS (расположение по умолчанию — " %SystemRoot%\system32\config\DNSEvent.Evt ").

При создании контроллера домена в системе появляются журналы:

  • журнал " Служба каталогов " ( Directory Service ) — события, порожденные службой каталогов Active Directory;. расположение по умолчанию — " %SystemRoot%\system32\config\NTDS.Evt ";
  • журнал " Служба репликации файлов " ( File Replication Service ) — события, связанные с репликацией файлов (в первую очередь файлы в папке SYSVOL и файлы в сетевых папках, управляемых рапределенной файловой системой DFS); расположение по умолчанию — " %SystemRoot%\system32\config\NtFrs.Evt ".
Работа с журналами

Открыть системные журналы можно следующими способами:

  • открыть консоль " Управление компьютером " и в разделе " Служебные программы " открыть оснастку " Просмотр событий ";
  • открыть отдельную консоль " Просмотр событий " в разделе " Администрирование " Главного меню системы Windows (рис. 16.1).

Рис. 16.1.

В левой части консоли будет список имеющихся на данном компьютере журналов, в правой части — список событий для выбранного журнала.

В большинстве журналов события бывают трех видов:

  • Уведомление — информация о событии, связанным с успешным действием (например, успешный запуск или останов службы, успешное завершение операции какой-либо службы);
  • Предупреждение — информация о событиях, которые в будущем могут вызвать проблемы в работе системы;
  • Ошибка — сообщение об ошибке (например, сбой при запуске службы).

В журнале " Безопасность " — 2 типа событий:

  • Аудит успехов — событие, связанное с успешным выполнением действия, связанного с системой безопасности (например, успешный вход в систему или успешный доступ к сетевому ресурсу);
  • Аудит отказов — событие, связанное со сбоем в выполнении действия, связанного с системой безопасности (например, отказ в аутентификации пользователя при входе в систему по причине ввода неверного пароля, блокировка учетной записи после нескольких неудачных попыток входа в систему, отказ в доступе к сетевому ресурсу).

В столбцах журнала, кроме типа события, содержатся следующие данные:

  • Дата и время регистрации события;
  • Источник — приложение, служба или системная компонента, записавшие событие в журнал;
  • Категория — категория события, иногда используемая для его более подробного описания;
  • Событие — код события;
  • Пользователь — учетная запись пользователя, действовавшая в момент события;
  • Компьютер — имя компьютера, на котором произошло событие.

Если открыть какое-либо событие, то можно получить более детальную информацию о нем (рис. 16.2):

  • Описание — текстовое описание события;
  • Данные — любые данные, сгенерированные событием, или связанный с ним код ошибки.

Рис. 16.2.
Настройка параметров журналов событий

Размер и способ ведения журналов событий можно настраивать. Для настройки параметров надо щелкнуть правой кнопкой на нужном журнале событий и выбрать в контекстном меню команду Свойства. Откроется диалоговое окно, показанное на рис. 16.3.


Рис. 16.3.

По умолчанию размер большинства журналов системы Windows 2003 — 16 МБ (для журнала безопасности — 128 МБ, в предыдущих версиях системы стандартный размер журнала — 512 КБ). При заполнении журнала старые события будут стираться. Администратор может изменить как размер журнала, так и способ управления записями при достижении максимального размера журнала (например, автоматически затирать события старше какого-то определенного количества дней или вообще не затирать старые события, в этом случае новые события в журнале регистрироваться не будут).

Содержимое журналов можно очищать вручную — щелкнуть правой кнопкой мыши на журнале, выбрать в меню команду " Стереть все события ". Система предложит сохранить стираемые события в отдельном файле, нужно выбрать требуемый вариант, и журнал будет очищен. При этом сохранять стираемые записи можно в трех разных вариантах: двоичном (с расширением файла " .evt ", такой файл можно будет просматривать только программой " Просмотр событий "), или текстовых (с расширением файла " .txt " —со знаком табуляции в качестве разделителя столбцов, а также с расширением файла " .csv " — с запятой в качестве разделителя). Сохранять содержимое журналов можно и без стирания старых записей. Открыть сохраненные записи можно через меню " Действие " консоли " Просмотр событий ", выбрав пункт " Открыть файл журнала ".

Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Елена Сапегова
Елена Сапегова

для получения диплома нужно ли кроме теоретической части еще и практическую делать? написание самого диплома требуется?

алексей оглы
алексей оглы
Россия
рафич Салахиев
рафич Салахиев
Россия