Мониторинг производительности компьютера
Далее будут описываться средства Windows Server, позволяющие вести длительные наблюдение за работой компьютера и регистрировать многочисленные параметры с журналах производительности.
Аудит и регистрация
Даже если никто и никогда не доберется до системы с помощью угадывания паролей, мудрым решением остается регистрация неудачных попыток входа в систему. Этот режим включается командой Security Policy | Local Policy |Audit Policy.
Самая лучшая конфигурация, когда все политики настраиваются на Success, Failure (Аудит успеха, Аудит отказа событий), кроме строки Audit process tracking, которая остается в положении No auditing. Эта настройка обеспечит наибольшую информативность журналов событий при минимальном влиянии на производительность. Конечно, простой установки политики аудита совсем недостаточно. Необходимо регулярно просматривать журналы регистрации событий. Журнал безопасности (Security Log), заполненный событиями 529 или 539 — Logon/Logoff failure (неудача входа/выхода из системы) или Account Locked Out (блокировка учетной записи), — это верный знак того, что система подвергается попытке автоматизированного взлома. Регистрационный журнал в большинстве случаев может идентифицировать нападающую систему. В данном случае Журнал безопасности покажет неудачные попытки входа в систему, вызванные атакой NAT. В большинстве случаев журнал позволяет даже установить компьютер, с которого производятся попытки взлома.
Естественно, регистрация в журнале приносит мало пользы, если никто не анализирует его записи. Ручной просмотр журнала регистрации событий весьма утомителен. К счастью, средство Event Viewer (Просмотр событий) позволяет фильтровать события по дате, типу, источнику, категории, пользователю, компьютеру и идентификатору.
Для тех, кто ищет специальные средства манипуляции и анализа журнала регистрации, которые запускаются из командной строки и могут использоваться в сценариях, рекомендуем утилиту dumpel из NTRK, Ntlast от JD Glaser из NTObjectives (бесплатная и коммерческие версии доступны на http://www.ntobjectives.com/) или dumpEvt от Somarsoft (бесплатная версия на http://www.somarsoft.com).
Dumpel работает с удаленными серверами (для чего требуются соответствующие права) и способна одновременно фильтровать до десяти идентификаторов событий. Например, применяя dumpel , можно извлечь неудачные попытки входа (идентификатор события 529) в локальную систему:
С:\> dumpel -е 529 -f seclog.txt -1 security -m Security -t
DumpEvt выводит весь регистрационный журнал событий защиты в формате, подходящем для импорта в базу данных Access или SQL. Однако эта утилита не может фильтровать события.
NTLast представляет собой утилиту среды Win32 для командной строки. NTLast ищет в локальных и удаленных журналах регистрации попытки
Оснастка Performance
Для запуска оснастки Performance(Производительность) откройте на панели управления папку Administrative Tools(Администрирование) и выберите значок Performance.Другой способ запуска - с помощью команды Start | All Programs | Administrative Tools | Performance.
Оснастка Performance на самом деле представляет собой два инструмента:
1. собственно Системный монитор - System Monitor Control, реализованный в виде "Элемента управления ActiveX (в оснастках все элементы управления подключаются как ActiveX Control);
2. Performance Logs and Alerts(Оповещения и журналы производительности) - автономная оснастка для просмотра файлов журналов производительности.
Системный монитор (System Monitor)
С помощью системного монитора можно измерять производительность локального компьютера или других компьютеров в сети:
§ собирать и просматривать данные текущей производительности системы на локальном компьютере или на нескольких удаленных компьютерах;
§ просматривать текущие данные или данные, собранные ранее с помощью оснастки Performance Logs and Alerts;
§ представлять данные в виде графика, гистограммы или отчета, которые можно вывести на печать;
§ внедрять возможности System Monitor в документы Microsoft Word или другие приложения пакета Microsoft Office с помощью автоматизации OLE;
§ создавать HTML-страницы для просмотра производительности;
§ создавать конфигурации мониторинга, допускающие повторное использование, которые можно инсталлировать на других компьютерах с помощью Microsoft Management Console.