Изучение системных событий

Средства мониторинга ОС Windows

Windows предоставляет следующие встроенные средства мониторинга:

1) диспетчер задач

2) системный монитор

3) служба журналов событий

4) сетевой монитор

Исследование средств мониторинга производи-тельности ОС Windows:

 

Для отслеживания загрузки системы откройте вкладку Performance (Быстродействие) (рис. 1).

Для вывода на экран числового значения (в процентах) процессорного времени, в течение которого процессор работал в режиме ядра, выберите команду Show Kernel Times (Вывод времени ядра) в меню View (Вид). Данное значение равно периоду времени, в течение которого приложения пользовались сервисами операционной системы. Остальную часть времени

Процессор работал в режиме пользователя, выполняя потоки в режиме работы приложений.

 

Рисунок 1 - Вкладка Performance

 

Пользователи многопроцессорных систем могут выбрать команду CPU History (Загрузка ЦП) меню View, чтобы вывести график занятости для каждого процессора.

 

Мониторинг сети

На вкладке Networldng (Сеть) можно в виде графика видеть объем информации, передаваемой компьютером по сети в каждый момент времени. Если на компьютере установлены несколько сетевых адаптеров, на вкладке Networking будет представлена общая кривая, показывающая объем трафика, ( -передаваемого через все сетевые соединения компьютера (рис. 2).

Команда View | Network Adapter History (Вид | Журнал сетевого адаптера) позволяет отдельно отображать на графике число полученных (Bytes Received(Получено байт)) и/или отправленных байт (Bytes Sent(Отправлено байт)) для сетевого адаптера.

Рисунок 2 - Вкладка Networking в окне диспетчера задач

 

Изучение списка зарегистрированных пользователей.

На вкладке Users(Пользователи) отображаются имена всех пользователей, зарегистрированных в данный момент на компьютере локально или удаленно (при использовании возможностей служб терминалов). Рис. 3 иллюстрирует ситуацию, когда один пользователь (administrator) зарегистрирован локально, а другой (alex) - с удаленного компьютера NETDC1.

На вкладке Users(Пользователи) вы можете отключить "лишних" пользователей (кнопка Disconnect(Отключить)) или "разрегистрировать" их в системе (кнопка Logoff(Выйти из системы)). Для этого, однако, нужно иметь права администратора системы.

 

Рисунок 3 - Вкладка Users позволяет увидеть, кто зарегистрирован на компьютере

 

Изучение системных событий

В операционных системах Windows событиемназывается любое значительное "происшествие" в работе системы или приложения, о котором следует уведомить пользователей. В случае возникновения критических событий, таких как переполнение диска сервера или неполадки с электропитанием, на экран монитора будет выведено соответствующее сообщение. Остальные события, которые не требуют немедленных действий от пользователя, регистрируются в системных журналах. Служба регистрации событий в системных журналах активизируется автоматически при каждом запуске системы Windows Server 2003.

 

Оснастка Event Viewer

в системе Windows Server 2003 дня просмотра системных журналов можно использовать оснастку Event Viewer(Просмотр событий) (группа Administr-tive Tools(Администрирование) на панели управления). Эту оснастку можно также запустить из окна оснастки Computer Management(Управление компьютером). На рис. 4 показан пример окна оснастки Event Viewerдля контроллера домена.

 

Рисунок 4 - Окно оснастки Event Viewer

 

Примечание

Оснастку Event Viewerможно также открыть с помощью команды Start | Programs | Administrative Tools | Event Viewer(Пуск | Программы | Администрирование | Просмотр событий).

С помощью оснастки Event Viewerможно просматривать три типа стандартных (основных) журналов.

1. Журнал приложений (Application log) - фиксирует события, зарегистрированные приложениями. Например, текстовый редактор может зарегистрировать в данном журнале ошибку при открытии файла.

2. Журнал системы (System log) - записывает события, которые регистрируются системными компонентами Windows Server 2003. Например, в системный журнал записываются такие события, как сбой в процессе загрузки драйвера или другого системного компонента при запуске системы.

3. Журнал безопасности (Security log) - содержит записи, связанные с системой безопасности. С помощью этого журнала можно отслеживать изменения в системе безопасности и идентифицировать бреши в защите. В данном журнале можно регистрировать попытки входа в систему. Для просмотра журнала необходимо иметь права администратора. По умолчанию регистрация событий в журнале безопасности отключена.

Примечание

Помимо стандартных, на компьютере - в первую очередь на контроллере домена - могут быть и другие журналы, создаваемые различными службами (например, Active Directory, DNS, File Replication Service и т. д.). Работа с такими журналами ничем не отличается от процедур просмотра стандартных журналов.

Примечание

Журнал системы безопасности может просматривать только пользователь с правами системного администратора. По умолчанию регистрация событий в данном журнале отключена. Для запуска регистрации необходимо установить политику аудита.

 

Типы событий

Ниже перечислены типы событий, регистрирующихся в журналах.

§ Error(Ошибка) - событие регистрируется в случае возникновения серьезного события (такого как потеря данных или функциональных возможностей). Событие данного типа будет зарегистрировано, если невозможно загрузить какой-либо из сервисов в ходе запуска системы.

§ Warning(Предупреждение) - событие не является серьезным, но может привести к возникновению проблем в будущем. Например, если недостаточно дискового пространства, то будет зарегистрировано предупреждение.

§ Information(Уведомление) - значимое событие, которое свидетельствует об успешном завершении операции приложением, драйвером или сервисом. Такое событие может, например, зарегистрировать успешно загрузившийся сетевой драйвер.

§ Success Audit(Аудит успехов) - событие, связанное с безопасностью системы. Примером такого события является успешная попытка регистрации пользователя в системе.

§ Failure Audit(Аудит отказов) - событие связано с безопасностью системы. Например, такое событие будет зарегистрировано, если попытка доступа пользователя к сетевому диску закончилась неудачей.

 

Параметры событий

Информация о событиях содержит следующие параметры:

Параметр Описание
Туре(Тип) Тип события
Date(Дата) Дата генерации события
Time(Время) Время регистрации события.
Source(Источник)   Источник (имя программы, системного компонента или компонента приложения), который привел к регистрации события
Category(Категория) Классификация события по источнику, вызвавшему его появление
Event ID(Событие) Идентификатор события
User(Пользователь) Учетная запись пользователя, от имени которой производились действия, вызвавшие генерацию события
Computer(Компьютер) Компьютер, на котором зарегистрировано событие

 

Рисунок 5 - Дополнительная информация о событии

 

Для просмотра дополнительной информации о событии выберите в меню Action(Действие) пункт Properties(Свойства) (либо щелкните дважды кнопкой мыши на строке в списке событий). Появится окно, пример которого показан на рис. 5. На панели Description(Описание) приведена общая информация о событии. На панели Data(Данные) отображаются двоичные данные, которые могут быть представлены как Bytes(Байты) или как Words(Слова). Эти данные могут быть интерпретированы опытным программистом или техническим специалистом службы поддержки, знакомым с исходным кодом приложения.