Изучение системных событий
Средства мониторинга ОС Windows
Windows предоставляет следующие встроенные средства мониторинга:
1) диспетчер задач
2) системный монитор
3) служба журналов событий
4) сетевой монитор
Исследование средств мониторинга производи-тельности ОС Windows:
Для отслеживания загрузки системы откройте вкладку Performance (Быстродействие) (рис. 1).
Для вывода на экран числового значения (в процентах) процессорного времени, в течение которого процессор работал в режиме ядра, выберите команду Show Kernel Times (Вывод времени ядра) в меню View (Вид). Данное значение равно периоду времени, в течение которого приложения пользовались сервисами операционной системы. Остальную часть времени
Процессор работал в режиме пользователя, выполняя потоки в режиме работы приложений.
Рисунок 1 - Вкладка Performance
Пользователи многопроцессорных систем могут выбрать команду CPU History (Загрузка ЦП) меню View, чтобы вывести график занятости для каждого процессора.
Мониторинг сети
На вкладке Networldng (Сеть) можно в виде графика видеть объем информации, передаваемой компьютером по сети в каждый момент времени. Если на компьютере установлены несколько сетевых адаптеров, на вкладке Networking будет представлена общая кривая, показывающая объем трафика, ( -передаваемого через все сетевые соединения компьютера (рис. 2).
Команда View | Network Adapter History (Вид | Журнал сетевого адаптера) позволяет отдельно отображать на графике число полученных (Bytes Received(Получено байт)) и/или отправленных байт (Bytes Sent(Отправлено байт)) для сетевого адаптера.
Рисунок 2 - Вкладка Networking в окне диспетчера задач
Изучение списка зарегистрированных пользователей.
На вкладке Users(Пользователи) отображаются имена всех пользователей, зарегистрированных в данный момент на компьютере локально или удаленно (при использовании возможностей служб терминалов). Рис. 3 иллюстрирует ситуацию, когда один пользователь (administrator) зарегистрирован локально, а другой (alex) - с удаленного компьютера NETDC1.
На вкладке Users(Пользователи) вы можете отключить "лишних" пользователей (кнопка Disconnect(Отключить)) или "разрегистрировать" их в системе (кнопка Logoff(Выйти из системы)). Для этого, однако, нужно иметь права администратора системы.
Рисунок 3 - Вкладка Users позволяет увидеть, кто зарегистрирован на компьютере
Изучение системных событий
В операционных системах Windows событиемназывается любое значительное "происшествие" в работе системы или приложения, о котором следует уведомить пользователей. В случае возникновения критических событий, таких как переполнение диска сервера или неполадки с электропитанием, на экран монитора будет выведено соответствующее сообщение. Остальные события, которые не требуют немедленных действий от пользователя, регистрируются в системных журналах. Служба регистрации событий в системных журналах активизируется автоматически при каждом запуске системы Windows Server 2003.
Оснастка Event Viewer
в системе Windows Server 2003 дня просмотра системных журналов можно использовать оснастку Event Viewer(Просмотр событий) (группа Administr-tive Tools(Администрирование) на панели управления). Эту оснастку можно также запустить из окна оснастки Computer Management(Управление компьютером). На рис. 4 показан пример окна оснастки Event Viewerдля контроллера домена.
Рисунок 4 - Окно оснастки Event Viewer
Примечание
Оснастку Event Viewerможно также открыть с помощью команды Start | Programs | Administrative Tools | Event Viewer(Пуск | Программы | Администрирование | Просмотр событий).
С помощью оснастки Event Viewerможно просматривать три типа стандартных (основных) журналов.
1. Журнал приложений (Application log) - фиксирует события, зарегистрированные приложениями. Например, текстовый редактор может зарегистрировать в данном журнале ошибку при открытии файла.
2. Журнал системы (System log) - записывает события, которые регистрируются системными компонентами Windows Server 2003. Например, в системный журнал записываются такие события, как сбой в процессе загрузки драйвера или другого системного компонента при запуске системы.
3. Журнал безопасности (Security log) - содержит записи, связанные с системой безопасности. С помощью этого журнала можно отслеживать изменения в системе безопасности и идентифицировать бреши в защите. В данном журнале можно регистрировать попытки входа в систему. Для просмотра журнала необходимо иметь права администратора. По умолчанию регистрация событий в журнале безопасности отключена.
Примечание
Помимо стандартных, на компьютере - в первую очередь на контроллере домена - могут быть и другие журналы, создаваемые различными службами (например, Active Directory, DNS, File Replication Service и т. д.). Работа с такими журналами ничем не отличается от процедур просмотра стандартных журналов.
Примечание
Журнал системы безопасности может просматривать только пользователь с правами системного администратора. По умолчанию регистрация событий в данном журнале отключена. Для запуска регистрации необходимо установить политику аудита.
Типы событий
Ниже перечислены типы событий, регистрирующихся в журналах.
§ Error(Ошибка) - событие регистрируется в случае возникновения серьезного события (такого как потеря данных или функциональных возможностей). Событие данного типа будет зарегистрировано, если невозможно загрузить какой-либо из сервисов в ходе запуска системы.
§ Warning(Предупреждение) - событие не является серьезным, но может привести к возникновению проблем в будущем. Например, если недостаточно дискового пространства, то будет зарегистрировано предупреждение.
§ Information(Уведомление) - значимое событие, которое свидетельствует об успешном завершении операции приложением, драйвером или сервисом. Такое событие может, например, зарегистрировать успешно загрузившийся сетевой драйвер.
§ Success Audit(Аудит успехов) - событие, связанное с безопасностью системы. Примером такого события является успешная попытка регистрации пользователя в системе.
§ Failure Audit(Аудит отказов) - событие связано с безопасностью системы. Например, такое событие будет зарегистрировано, если попытка доступа пользователя к сетевому диску закончилась неудачей.
Параметры событий
Информация о событиях содержит следующие параметры:
| Параметр | Описание |
| Туре(Тип) | Тип события |
| Date(Дата) | Дата генерации события |
| Time(Время) | Время регистрации события. |
| Source(Источник) | Источник (имя программы, системного компонента или компонента приложения), который привел к регистрации события |
| Category(Категория) | Классификация события по источнику, вызвавшему его появление |
| Event ID(Событие) | Идентификатор события |
| User(Пользователь) | Учетная запись пользователя, от имени которой производились действия, вызвавшие генерацию события |
| Computer(Компьютер) | Компьютер, на котором зарегистрировано событие |
Рисунок 5 - Дополнительная информация о событии
Для просмотра дополнительной информации о событии выберите в меню Action(Действие) пункт Properties(Свойства) (либо щелкните дважды кнопкой мыши на строке в списке событий). Появится окно, пример которого показан на рис. 5. На панели Description(Описание) приведена общая информация о событии. На панели Data(Данные) отображаются двоичные данные, которые могут быть представлены как Bytes(Байты) или как Words(Слова). Эти данные могут быть интерпретированы опытным программистом или техническим специалистом службы поддержки, знакомым с исходным кодом приложения.