При установке службы DNS появляется
журнал " DNS-сервер " (DNS Server), регистрирующий
события, связанные с работой
службы DNS (расположение по умолчанию
— " %SystemRoot%\system32\config\DNSEvent.Evt ").
При создании контроллера
домена в системе появляются журналы:
- журнал "Служба каталогов" (Directory
Service) — события, порожденные службой каталогов
Active Directory;. расположение по умолчанию
— " %SystemRoot%\system32\config\NTDS.Evt ";
- журнал "Служба репликации файлов"
(File Replication Service) — события, связанные с
репликацией файлов (в первую очередь
файлы в папке SYSVOL и файлы в сетевых папках,
управляемых рапределенной файловой системой
DFS); расположение по умолчанию — " %SystemRoot%\system32\config\NtFrs.Evt
".
Работа с журналами
В большинстве журналов события
бывают трех видов:
- Уведомление
— информация о событии, связанным с успешным
действием (например, успешный запуск
или останов службы, успешное завершение
операции какой-либо службы);
- Предупреждение
— информация о событиях, которые в будущем
могут вызвать проблемы в работе системы;
- Ошибка
— сообщение об ошибке (например, сбой
при запуске службы).
В журнале " Безопасность
" — 2 типа событий:
- Аудит успехов
— событие, связанное с успешным выполнением
действия, связанного с системой безопасности
(например, успешный вход в систему или
успешный доступ к сетевому ресурсу);
- Аудит отказов
— событие, связанное со сбоем в выполнении
действия, связанного с системой безопасности
(например, отказ в аутентификации пользователя
при входе в систему по причине ввода неверного
пароля, блокировка учетной записи после
нескольких неудачных попыток входа в
систему, отказ в доступе к сетевому ресурсу).
В столбцах журнала, кроме
типа события, содержатся следующие
данные:
- Дата и время
регистрации события;
- Источник
— приложение, служба или системная компонента,
записавшие событие в журнал;
- Категория
— категория события, иногда используемая
для его более подробного описания;
- Событие
— код события;
- Пользователь
— учетная запись пользователя, действовавшая
в момент события;
- Компьютер
— имя компьютера, на котором произошло
событие.
Если открыть какое-либо
событие, то можно получить более
детальную информацию о нем:
- Описание
— текстовое описание события;
- Данные
— любые данные, сгенерированные событием,
или связанный с ним код ошибки.
Настройка параметров журналов
событий
По умолчанию размер большинства
журналов системы Windows 2003 — 16 МБ (для журнала
безопасности — 128 МБ, в предыдущих версиях
системы стандартный размер журнала —
512 КБ). При заполнении журнала старые события
будут стираться. Администратор может
изменить как размер журнала, так и способ
управления записями при достижении максимального
размера журнала (например, автоматически
затирать события старше какого-то определенного
количества дней или вообще не затирать
старые события, в этом случае новые события
в журнале регистрироваться не будут).
Содержимое журналов можно
очищать вручную — щелкнуть правой
кнопкой мыши на журнале, выбрать
в меню команду "Стереть все
события". Система предложит сохранить
стираемые события в отдельном
файле, нужно выбрать требуемый
вариант, и журнал будет очищен. При
этом сохранять стираемые записи
можно в трех разных вариантах: двоичном
(с расширением файла ".evt", такой
файл можно будет просматривать
только программой "Просмотр событий"),
или текстовых (с расширением
файла ".txt" —со знаком табуляции
в качестве разделителя столбцов,
а также с расширением файла
".csv" — с запятой в качестве
разделителя). Сохранять содержимое
журналов можно и без стирания
старых записей. Открыть сохраненные
записи можно через меню "Действие"
консоли "Просмотр событий", выбрав
пункт "Открыть файл журнала".
Просмотр журналов (фильтрация
событий)
В каждом из журналов накапливается
большое количество событий, в которых
трудно иногда найти нужные события.
Заметим вначале, что щелчок мышью
на заголовке любого столбца в
консоли (оснастке) "Просмотр
событий" позволяет отсортировать
события по убыванию или возрастанию значений
данного столбца. Для более точного отбора
искомых событий служат средства фильтрации
в "Просмотре событий".
Если открыть свойства какого-либо журнала,
то в открывшейся панели, кроме закладки
"Общие", имеется
также закладка "Фильтр",
позволяющая установить правила для отбора
событий.
Можно установить правила
отбора:
- по типу событий — уведомления, предупреждения,
ошибки, аудит успехов, аудит отказов;
- по источнику (например, компоненты системы
Alerter, Browser, DCOM, DHCP, disk, eventlog, Server, System и др.);
- по категории (например, Диск, Оболочка,
Принтеры, Сеть, Службы, Устройства и др.);
- по известному коду события;
- по имени пользователя;
- по имени компьютера;
- задать период времени — с какого по
какой момент времени отобрать события.
Аудит
Настройка политик аудита
— важный фактор обеспечения безопасности
и целостности системы. Каждая компьютерная
система в сети должна быть настроена
для протоколирования определенных
событий, относящихся к системе
безопасности. Политики аудита определяют,
какие именно события в области
безопасности системы должны регистрироваться
в журнале "Безопасность".
Процесс аудита безопасности
настраивается с помощью групповых
политик (групповые политики можно
определять для сайта, домена или
организационного подразделения, а
также для отдельной рабочей
станции или сервера). Параметры
аудита безопасности находятся в разделе
"Параметры безопасности — Локальные
политики — Политики аудита" любого
объекта групповых политик.
Типы:
- Аудит входа в систему регистрирует события, связанные
с регистрацией пользователя на данном
компьютере, окончанием сеанса работы
и удаленными соединениями с сетевыми
системами;
- Аудит доступа к объектам регистрирует
попытки доступа пользователей к различным
объектам — файлам, папкам, принтерам
и объектам Active Directory;
- Аудит доступа к службе каталогов регистрирует доступ к Active Directory;
- Аудит изменения политики регистрирует
изменения разрешений доступа пользователей,
аудита и доверительных отношений;
- Аудит использования привилегий регистрирует
применение разрешений доступа и привилегий
пользователя (например, использование
прав резервного копирования файлов и
каталогов);
- Аудит отслеживания процессов регистрирует
системные процессы и ресурсы, используемые
процессами;
- Аудит системных событий
регистрирует запуск, выключение и перезагрузку
системы, а также действия, влияющие на
безопасность системы или на журнал безопасности;
- Аудит событий входа в систему
регистрирует события, связанные с регистрацией
пользователя в домене;
- Аудит управления учетными записями
регистрирует управление учетными записями
посредством консоли " Active Directory - пользователи
и компьютеры " (события генерируются
каждый раз, когда учетные записи пользователя,
компьютера или группы создаются, изменяются
или удаляются).
Аудит доступа к объектам
Необходимость регистрации
событий доступа к объектам возникает,
когда есть подозрения, что кто-то
из пользователей пытается получить
несанкционированный доступ к информации,
к которой он не должен иметь доступа.
По умолчанию на обычном
сервере или рабочей станции
политики аудита доступа к объектам
отключены.
Не рекомендуется злоупотреблять
применением политик аудита доступа к
объектам и регистрацией доступа к большому
числу объектов, т.к. системой генерируется
очень большое число записей, отыскать
среди которых нужные будет весьма непросто.
К тому же надо будет постоянно заботиться
о сохранении старых записей и очистке
журнала. Наиболее рациональный способ
применения аудита доступа к объектам
— настройка данного аудита в те моменты,
когда есть обоснованные опасения о наличии
в сети попыток несанкционированного
доступа.
Мониторинг производительности
Мы рассмотрим два основных
инструмента мониторинга производительности
систем Windows Server — программу "Диспетчер
задач", которая предназначена для мониторинга
работы приложений и служб сервера в реальном
времени, и консоль "Производительность",
которая может осуществлять мониторинг
производительности как в реальном времени,
так и путем накопления статистики о работе
системы за определенный период времени,
причем консоль " Производительность
" может показывать и собирать данные
одновременно с нескольких систем.
Диспетчер задач
Чтобы открыть " Диспетчер
задач ", основной инструмент мониторинга
и управления системными процессами
и приложениями, нужно выполнить
одно из перечисленных действий:
- нажать комбинацию клавиш CTRL+SHIFT+ESC;
- нажать комбинацию клавиш CTRL+ALT+DELETE и
нажать кнопку "Диспетчер задач";
- нажать кнопку "Пуск", выбрать пункт
меню "Выполнить", ввести taskmgr и нажать
кнопку "ОК";
- щелкнуть правой кнопкой мыши на панели
задач и выбрать в контекстном меню команду
"Диспетчер задач".
Управление приложениями
На закладке "Приложения"
показан статус программ, работающих в
данный момент в системе.
При щелчке правой кнопкой
мыши на строке приложения или группы
приложений в списке отображается контекстное
меню, позволяющее:
- переходить к приложению и делать его
активным;
- переводить приложение на передний план;
- сворачивать и восстанавливать приложение;
- изменять расположение окон приложений;
- закрывать приложение;
- выделять на вкладке "Процессы"
процесс, связанный с этим приложением.
По умолчанию в этом
окне перечислены только процессы,
запущенные ОС, локальными службами, сетевыми
службами и интерактивным пользователем,
т. е. пользователем, локально зарегистрировавшимся
на компьютере. Чтобы увидеть процессы,
запущенные удаленными пользователями,
например подключившимися с помощью
удаленного рабочего стола, надо установить
галочку у поля "Отображать процессы
всех пользователей".
В столбцах на закладке "Процессы"
содержится информация о выполняемых
процессах. Она позволяет выявить
те из них, которые поглощают системные
ресурсы, например, процессорное время
или память. По умолчанию отображаются
следующие столбцы:
- Имя образа — имя процесса или исполняемого
файла, запустившего процесс;
- Имя пользователя — имя пользователя
или системной службы, запустившей процесс;
- ЦП — доля ресурсов ЦП (в процентах), занимаемая
данным процессом;
- Память — объем оперативной памяти, занятой
процессом в данный момент.
При выборе в меню "Вид"
команды "Выбрать столбцы", откроется
диалоговое окно, из которого на закладку
"Процессы" можно добавить другие
столбцы.
Некоторые из них могут
оказаться очень полезными при
поисках причин системной проблемы.
- Идентиф. процесса (PID) — цифровой идентификатор
процесса в системе (позволяет найти процесс
по его номеру, отображаемому не только
в " Диспетчере задач ", но и в других
утилитах управления);
- Объем виртуальной памяти — объем памяти
данного процесса в килобайтах, выгруженной
в данный момент в файл подкачки;
- Базовый приоритет — мера объема системных
ресурсов, выделенных процессу; чтобы
задать приоритет процесса, щелкните его
правой кнопкой мыши, раскройте подменю
"Приоритет" и выберите нужный вариант
— "Низкий", "Ниже среднего",
"Средний", "Выше среднего" и
"Реального времени"; большинству
процессов по умолчанию назначен средний
приоритет; наивысший приоритет назначается
процессам реального времени;
- Время ЦП — процессорное время, затраченное
на выполнение процесса с момента его
запуска; чтобы найти процессы, на выполнение
которых расходуется больше всего времени,
отобразите этот столбец и щелкните его
заголовок, чтобы отсортировать процессы
по содержимому столбца;
- Выгружаемый пул, Невыгружаемый пул —
выгружаемым пулом называется область
системной памяти, предназначенная для
объектов, которые при ненадобности можно
хранить на диске; невыгружаемый пул —
это область системной памяти для объектов,
которые на диск записывать нельзя (стоит
обращать внимание на процессы, которым
требуется значительный объем невыгружаемой
памяти — если на сервере недостаточно
свободной памяти, эти процессы могут
стать причиной большого количества ошибок);
- Ошибок страницы — ошибка страницы возникает,
если процесс запрашивает страницу памяти,
а система не находит ее по указанному
адресу; если запрашиваемая страница хранится
в другой области памяти, ошибка называется
программной; если запрашиваемую страницу
приходится считывать с диска, ошибка
называется ошибкой физической памяти;
процессоры, как правило, справляются
с большинством программных ошибок; ошибки
физической памяти могут существенно
замедлить работу системы
- Память - максимум — максимальный объем
памяти, использованной процессом (на
разницу между этим параметром и текущим
объемом памяти, занятой процессом, тоже
следует обращать внимание — если приложению,
например, Microsoft SQL Server, в моменты пиковых
нагрузок требуется гораздо больше памяти,
чем при обычной работе, возможно, стоит
сразу при запуске выделять ему больше
памяти);
- Счетчик дескрипторов — полное число
дескрипторов файлов, поддерживаемых
процессом; эта характеристика позволяет
оценить, насколько процесс зависит от
файловой системы (С некоторыми процессами
связаны тысячи дескрипторов открытых
файлов, и каждый из них занимает некоторый
объем системной памяти);
- Счетчик потоков — текущее число потоков,
используемых процессом; большинство
серверных приложений являются многопотоковыми,
что позволяет одновременно выполнять
несколько запросов процесса; некоторые
приложения способны динамически управлять
числом одновременно исполняемых потоков,
что позволяет повысить их производительность;
чрезмерное увеличение количества потоков
ухудшает производительность, так как
ОС приходится слишком часто переключать
контексты потоков;
- Число чтений, Число записей — полное
число операций чтения с диска и записи
на диск с момента запуска процесса; этот
параметр показывает, насколько активно
процессом используется диск (если рост
числа операций ввода-вывода не согласуется
с реальной активностью сервера, процесс,
вероятно, не способен кэшировать файлы
или кэширование файлов неверно настроено).