Лекции по "Администрированию сетей"

При установке службы DNS появляется журнал " DNS-сервер " (DNS Server), регистрирующий события, связанные с работой  службы DNS (расположение по умолчанию  — " %SystemRoot%\system32\config\DNSEvent.Evt ").

При создании контроллера  домена в системе появляются журналы:

• журнал "Служба каталогов" (Directory Service) — события, порожденные службой каталогов Active Directory;. расположение по умолчанию — " %SystemRoot%\system32\config\NTDS.Evt ";
• журнал "Служба репликации файлов" (File Replication Service) — события, связанные с репликацией файлов (в первую очередь файлы в папке SYSVOL и файлы в сетевых папках, управляемых рапределенной файловой системой DFS); расположение по умолчанию — " %SystemRoot%\system32\config\NtFrs.Evt ".

Работа с журналами

В большинстве журналов события  бывают трех видов:

• Уведомление — информация о событии, связанным с успешным действием (например, успешный запуск или останов службы, успешное завершение операции какой-либо службы);
• Предупреждение — информация о событиях, которые в будущем могут вызвать проблемы в работе системы;
• Ошибка — сообщение об ошибке (например, сбой при запуске службы).

В журнале " Безопасность " — 2 типа событий:

• Аудит успехов — событие, связанное с успешным выполнением действия, связанного с системой безопасности (например, успешный вход в систему или успешный доступ к сетевому ресурсу);
• Аудит отказов — событие, связанное со сбоем в выполнении действия, связанного с системой безопасности (например, отказ в аутентификации пользователя при входе в систему по причине ввода неверного пароля, блокировка учетной записи после нескольких неудачных попыток входа в систему, отказ в доступе к сетевому ресурсу).

В столбцах журнала, кроме  типа события, содержатся следующие  данные:

• Дата и время регистрации события;
• Источник — приложение, служба или системная компонента, записавшие событие в журнал;
• Категория — категория события, иногда используемая для его более подробного описания;
• Событие — код события;
• Пользователь — учетная запись пользователя, действовавшая в момент события;
• Компьютер — имя компьютера, на котором произошло событие.

Если открыть какое-либо событие, то можно получить более  детальную информацию о нем:

• Описание — текстовое описание события;
• Данные — любые данные, сгенерированные событием, или связанный с ним код ошибки.

Настройка параметров журналов событий

 По умолчанию размер большинства журналов системы Windows 2003 — 16 МБ (для журнала безопасности — 128 МБ, в предыдущих версиях системы стандартный размер журнала — 512 КБ). При заполнении журнала старые события будут стираться. Администратор может изменить как размер журнала, так и способ управления записями при достижении максимального размера журнала (например, автоматически затирать события старше какого-то определенного количества дней или вообще не затирать старые события, в этом случае новые события в журнале регистрироваться не будут).

Содержимое журналов можно  очищать вручную — щелкнуть правой кнопкой мыши на журнале, выбрать  в меню команду "Стереть все  события". Система предложит сохранить  стираемые события в отдельном  файле, нужно выбрать требуемый  вариант, и журнал будет очищен. При  этом сохранять стираемые записи можно в трех разных вариантах: двоичном (с расширением файла ".evt", такой  файл можно будет просматривать  только программой "Просмотр событий"), или текстовых (с расширением  файла ".txt" —со знаком табуляции  в качестве разделителя столбцов, а также с расширением файла ".csv" — с запятой в качестве разделителя). Сохранять содержимое журналов можно и без стирания старых записей. Открыть сохраненные  записи можно через меню "Действие" консоли "Просмотр событий", выбрав пункт "Открыть файл журнала".

Просмотр журналов (фильтрация событий)

В каждом из журналов накапливается  большое количество событий, в которых  трудно иногда найти нужные события. Заметим вначале, что щелчок мышью  на заголовке любого столбца в  консоли (оснастке) "Просмотр событий" позволяет отсортировать события по убыванию или возрастанию значений данного столбца. Для более точного отбора искомых событий служат средства фильтрации в "Просмотре событий". Если открыть свойства какого-либо журнала, то в открывшейся панели, кроме закладки "Общие", имеется также закладка "Фильтр", позволяющая установить правила для отбора событий.

Можно установить правила  отбора:

• по типу событий — уведомления, предупреждения, ошибки, аудит успехов, аудит отказов;
• по источнику (например, компоненты системы Alerter, Browser, DCOM, DHCP, disk, eventlog, Server, System и др.);
• по категории (например, Диск, Оболочка, Принтеры, Сеть, Службы, Устройства и др.);
• по известному коду события;
• по имени пользователя;
• по имени компьютера;
• задать период времени — с какого по какой момент времени отобрать события.

 Аудит

Настройка политик аудита — важный фактор обеспечения безопасности и целостности системы. Каждая компьютерная система в сети должна быть настроена  для протоколирования определенных событий, относящихся к системе  безопасности. Политики аудита определяют, какие именно события в области  безопасности системы должны регистрироваться в журнале "Безопасность".

Процесс аудита безопасности настраивается с помощью групповых  политик (групповые политики можно  определять для сайта, домена или  организационного подразделения, а  также для отдельной рабочей  станции или сервера). Параметры  аудита безопасности находятся в разделе "Параметры безопасности — Локальные политики — Политики аудита" любого объекта групповых политик.

 Типы:

• Аудит входа в систему регистрирует события, связанные с регистрацией пользователя на данном компьютере, окончанием сеанса работы и удаленными соединениями с сетевыми системами;
• Аудит доступа к объектам регистрирует попытки доступа пользователей к различным объектам — файлам, папкам, принтерам и объектам Active Directory;
• Аудит доступа к службе каталогов регистрирует доступ к Active Directory;
• Аудит изменения политики регистрирует изменения разрешений доступа пользователей, аудита и доверительных отношений;
• Аудит использования привилегий регистрирует применение разрешений доступа и привилегий пользователя (например, использование прав резервного копирования файлов и каталогов);
• Аудит отслеживания процессов регистрирует системные процессы и ресурсы, используемые процессами;
• Аудит системных событий регистрирует запуск, выключение и перезагрузку системы, а также действия, влияющие на безопасность системы или на журнал безопасности;
• Аудит событий входа в систему регистрирует события, связанные с регистрацией пользователя в домене;
• Аудит управления учетными записями регистрирует управление учетными записями посредством консоли " Active Directory - пользователи и компьютеры " (события генерируются каждый раз, когда учетные записи пользователя, компьютера или группы создаются, изменяются или удаляются).

Аудит доступа к объектам

Необходимость регистрации  событий доступа к объектам возникает, когда есть подозрения, что кто-то из пользователей пытается получить несанкционированный доступ к информации, к которой он не должен иметь доступа.

По умолчанию на обычном  сервере или рабочей станции  политики аудита доступа к объектам отключены.

Не рекомендуется злоупотреблять применением политик аудита доступа к объектам и регистрацией доступа к большому числу объектов, т.к. системой генерируется очень большое число записей, отыскать среди которых нужные будет весьма непросто. К тому же надо будет постоянно заботиться о сохранении старых записей и очистке журнала. Наиболее рациональный способ применения аудита доступа к объектам — настройка данного аудита в те моменты, когда есть обоснованные опасения о наличии в сети попыток несанкционированного доступа.

 Мониторинг производительности

Мы рассмотрим два основных инструмента мониторинга производительности систем Windows Server — программу "Диспетчер задач", которая предназначена для мониторинга работы приложений и служб сервера в реальном времени, и консоль "Производительность", которая может осуществлять мониторинг производительности как в реальном времени, так и путем накопления статистики о работе системы за определенный период времени, причем консоль " Производительность " может показывать и собирать данные одновременно с нескольких систем.

Диспетчер задач

Чтобы открыть " Диспетчер  задач ", основной инструмент мониторинга  и управления системными процессами и приложениями, нужно выполнить  одно из перечисленных действий:

• нажать комбинацию клавиш CTRL+SHIFT+ESC;
• нажать комбинацию клавиш CTRL+ALT+DELETE и нажать кнопку "Диспетчер задач";
• нажать кнопку "Пуск", выбрать пункт меню "Выполнить", ввести taskmgr и нажать кнопку "ОК";
• щелкнуть правой кнопкой мыши на панели задач и выбрать в контекстном меню команду "Диспетчер задач".

Управление приложениями

На закладке "Приложения" показан статус программ, работающих в данный момент в системе.

При щелчке правой кнопкой  мыши на строке приложения или группы приложений в списке отображается контекстное  меню, позволяющее:

• переходить к приложению и делать его активным;
• переводить приложение на передний план;
• сворачивать и восстанавливать приложение;
• изменять расположение окон приложений;
• закрывать приложение;
• выделять на вкладке "Процессы" процесс, связанный с этим приложением.

По умолчанию в этом окне перечислены только процессы, запущенные ОС, локальными службами, сетевыми службами и интерактивным пользователем, т. е. пользователем, локально зарегистрировавшимся на компьютере. Чтобы увидеть процессы, запущенные удаленными пользователями, например подключившимися с помощью  удаленного рабочего стола, надо установить галочку у поля "Отображать процессы всех пользователей".

В столбцах на закладке "Процессы" содержится информация о выполняемых  процессах. Она позволяет выявить  те из них, которые поглощают системные  ресурсы, например, процессорное время  или память. По умолчанию отображаются следующие столбцы:

• Имя образа — имя процесса или исполняемого файла, запустившего процесс;
• Имя пользователя — имя пользователя или системной службы, запустившей процесс;
• ЦП — доля ресурсов ЦП (в процентах), занимаемая данным процессом;
• Память — объем оперативной памяти, занятой процессом в данный момент.

При выборе в меню "Вид" команды "Выбрать столбцы", откроется  диалоговое окно, из которого на закладку "Процессы" можно добавить другие столбцы.

Некоторые из них могут  оказаться очень полезными при  поисках причин системной проблемы.

• Идентиф. процесса (PID) — цифровой идентификатор процесса в системе (позволяет найти процесс по его номеру, отображаемому не только в " Диспетчере задач ", но и в других утилитах управления);
• Объем виртуальной памяти — объем памяти данного процесса в килобайтах, выгруженной в данный момент в файл подкачки;
• Базовый приоритет — мера объема системных ресурсов, выделенных процессу; чтобы задать приоритет процесса, щелкните его правой кнопкой мыши, раскройте подменю "Приоритет" и выберите нужный вариант — "Низкий", "Ниже среднего", "Средний", "Выше среднего" и "Реального времени"; большинству процессов по умолчанию назначен средний приоритет; наивысший приоритет назначается процессам реального времени;
• Время ЦП — процессорное время, затраченное на выполнение процесса с момента его запуска; чтобы найти процессы, на выполнение которых расходуется больше всего времени, отобразите этот столбец и щелкните его заголовок, чтобы отсортировать процессы по содержимому столбца;
• Выгружаемый пул, Невыгружаемый пул — выгружаемым пулом называется область системной памяти, предназначенная для объектов, которые при ненадобности можно хранить на диске; невыгружаемый пул — это область системной памяти для объектов, которые на диск записывать нельзя (стоит обращать внимание на процессы, которым требуется значительный объем невыгружаемой памяти — если на сервере недостаточно свободной памяти, эти процессы могут стать причиной большого количества ошибок);
• Ошибок страницы — ошибка страницы возникает, если процесс запрашивает страницу памяти, а система не находит ее по указанному адресу; если запрашиваемая страница хранится в другой области памяти, ошибка называется программной; если запрашиваемую страницу приходится считывать с диска, ошибка называется ошибкой физической памяти; процессоры, как правило, справляются с большинством программных ошибок; ошибки физической памяти могут существенно замедлить работу системы
• Память - максимум — максимальный объем памяти, использованной процессом (на разницу между этим параметром и текущим объемом памяти, занятой процессом, тоже следует обращать внимание — если приложению, например, Microsoft SQL Server, в моменты пиковых нагрузок требуется гораздо больше памяти, чем при обычной работе, возможно, стоит сразу при запуске выделять ему больше памяти);
• Счетчик дескрипторов — полное число дескрипторов файлов, поддерживаемых процессом; эта характеристика позволяет оценить, насколько процесс зависит от файловой системы (С некоторыми процессами связаны тысячи дескрипторов открытых файлов, и каждый из них занимает некоторый объем системной памяти);
• Счетчик потоков — текущее число потоков, используемых процессом; большинство серверных приложений являются многопотоковыми, что позволяет одновременно выполнять несколько запросов процесса; некоторые приложения способны динамически управлять числом одновременно исполняемых потоков, что позволяет повысить их производительность; чрезмерное увеличение количества потоков ухудшает производительность, так как ОС приходится слишком часто переключать контексты потоков;
• Число чтений, Число записей — полное число операций чтения с диска и записи на диск с момента запуска процесса; этот параметр показывает, насколько активно процессом используется диск (если рост числа операций ввода-вывода не согласуется с реальной активностью сервера, процесс, вероятно, не способен кэшировать файлы или кэширование файлов неверно настроено).