Настройка параметров журналов событий

Размер и способ ведения журналов событий можно настраивать. Для настройки параметров надо щелкнуть правой кнопкой на нужном журнале событий и выбрать в контекстном меню команду Свойства. Откроется диалоговое окно, показанное на рис. 16.3.

Рис. 16.3.

По умолчанию размер большинства журналов системы Windows 2003 — 16 МБ (для журнала безопасности — 128 МБ, в предыдущих версиях системы стандартный размер журнала — 512 КБ). При заполнении журнала старые события будут стираться. Администратор может изменить как размер журнала, так и способ управления записями при достижении максимального размера журнала (например, автоматически затирать события старше какого-то определенного количества дней или вообще не затирать старые события, в этом случае новые события в журнале регистрироваться не будут).

Содержимое журналов можно очищать вручную — щелкнуть правой кнопкой мыши на журнале, выбрать в меню команду " Стереть все события ". Система предложит сохранить стираемые события в отдельном файле, нужно выбрать требуемый вариант, и журнал будет очищен. При этом сохранять стираемые записи можно в трех разных вариантах: двоичном (с расширением файла " .evt ", такой файл можно будет просматривать только программой " Просмотр событий "), или текстовых (с расширением файла " .txt " —со знаком табуляции в качестве разделителя столбцов, а также с расширением файла " .csv " — с запятой в качестве разделителя). Сохранять содержимое журналов можно и без стирания старых записей. Открыть сохраненные записи можно через меню " Действие " консоли "Просмотр событий ", выбрав пункт " Открыть файл журнала ".

Просмотр журналов (фильтрация событий)

В каждом из журналов накапливается большое количество событий, в которых трудно иногда найти нужные события. Заметим вначале, что щелчок мышью на заголовке любого столбца в консоли (оснастке) " Просмотр событий " позволяет отсортировать события по убыванию или возрастанию значений данного столбца. Для более точного отбора искомых событий служат средства фильтрации в " Просмотре событий ". Если открыть свойства какого-либо журнала, то в открывшейся панели, кроме закладки " Общие ", имеется также закладка " Фильтр ", позволяющая установить правила для отбора событий. Посмотрим внимательно на данную закладку (рис. 16.4):

Рис. 16.4.

Можно установить правила отбора:

• по типу событий — уведомления, предупреждения, ошибки, аудит успехов, аудит отказов;
• по источнику (например, компоненты системы Alerter, Browser, DCOM, DHCP, disk, eventlog, Server, System и др.);
• по категории (например, Диск, Оболочка, Принтеры, Сеть, Службы, Устройства и др.);
• по известному коду события;
• по имени пользователя;
• по имени компьютера;
• задать период времени — с какого по какой момент времени отобрать события.

На рис. 16.5 изображен фильтр, отбирающий события с кодом 6005 с 00 ч 00 мин 20.02.2007 до 12 ч 00 мин 01.03.2007. Результат применения фильтра — на рис. 16.6 (с помощью данного фильтра были отобраны события, регистрирующие процесс запуска системной службы " Журнал событий ).

Рис. 16.5.

Рис. 16.6.

Вернуться к полному просмотру всех событий можно, выбрав в меню " Вид " команду " Все записи " (рис. 16.7):

Рис. 16.7.

Аудит

Настройка политик аудита — важный фактор обеспечения безопасности и целостности системы. Каждая компьютерная система в сети должна быть настроена для протоколирования определенных событий, относящихся к системе безопасности. Политики аудита определяют, какие именно события в области безопасности системы должны регистрироваться в журнале " Безопасность ".

Процесс аудита безопасности настраивается с помощью групповых политик (напомним, что групповые политики можно определять для сайта, домена или организационного подразделения, а также для отдельной рабочей станции или сервера). Параметры аудита безопасности находятся в разделе " Параметры безопасности — Локальные политики — Политики аудита " любого объекта групповых политик.

На рис. 16.8 изображены стандартные политики аудита для организационного подразделения " Контроллеры домена ".

Рис. 16.8.

Рассмотрим параметры этого раздела:

• Аудит входа в систему регистрирует события, связанные с регистрацией пользователя на данном компьютере, окончанием сеанса работы и удаленными соединениями с сетевыми системами;
• Аудит доступа к объектам регистрирует попытки доступа пользователей к различным объектам — файлам, папкам, принтерам и объектам Active Directory;
• Аудит доступа к службе каталогов регистрирует доступ к Active Directory;
• Аудит изменения политики регистрирует изменения разрешений доступа пользователей, аудита и доверительных отношений;
• Аудит использования привилегий регистрирует применение разрешений доступа и привилегий пользователя (например, использование прав резервного копирования файлов и каталогов);
• Аудит отслеживания процессов регистрирует системные процессы и ресурсы, используемые процессами;
• Аудит системных событий регистрирует запуск, выключение и перезагрузку системы, а также действия, влияющие на безопасность системы или на журнал безопасности;
• Аудит событий входа в систему регистрирует события, связанные с регистрацией пользователя в домене;
• Аудит управления учетными записямирегистрирует управление учетными записями посредством консоли " Active Directory - пользователи и компьютеры " (события генерируются каждый раз, когда учетные записи пользователя, компьютера или группы создаются, изменяются или удаляются).

Аудит доступа к объектам

Рассмотрим подробнее аудит доступа к объектам. Необходимость регистрации событий доступа к объектам возникает, когда есть подозрения, что кто-то из пользователей пытается получить несанкционированный доступ к информации, к которой он не должен иметь доступа.

По умолчанию на обычном сервере или рабочей станции политики аудита доступа к объектам отключены. Включим данные политики (на уровне сайта, домена или нужного нам ОП) — откроем данный параметр в редакторе политик и установим регистрацию как успешных, так и неуспешных попыток доступа к объектам (рис. 16.9).

Рис. 16.9.

После применения политик настроим аудит доступа для нужных объектов (например, для папки Folder1 на сервере DC1 ) — откроем Свойства данной папки (папка должна быть размещена на разделе с файловой системой NTFS), перейдем на закладку " Безопасность ", нажмем кнопку " Дополнительно " и перейдем на закладку " Аудит ". Добавим в список пользователей, для которых будут отслеживаться попытки доступа к папке Folder1, группу " Пользователи домена " и установим, какие именно попытки будут регистрироваться в журнале " Безопасность " (например, попытки удаления папок и файлов, успешные и неуспешные, рис. 16.10).

Рис. 16.10.

Теперь для проверки работы механизма аудита удалим какой-нибудь файл в этой папке, а затем просмотрим соответствующие события, появившиеся в журнале "Безопасность ". Пример события, зарегистрировавшего в журнале безопасности удаление файла " Документ.doc ", показан на рис. 16.11 и 16.12:

Рис. 16.11.

Рис. 16.12.

На рис. 16.11 видно, что пользователь Администратор получил успешный доступ к файлу " H:\Folder1\Документ.doc " на компьютере DC1, а на рис. 16.12 показан вид доступа — DELETE ( Удаление ).

Не рекомендуем злоупотреблять применением политик аудита доступа к объектам и регистрацией доступа к большому числу объектов, т.к. системой генерируется очень большое число записей, отыскать среди которых нужные будет весьма непросто. К тому же надо будет постоянно заботиться о сохранении старых записей и очистке журнала. Наиболее рациональный способ применения аудита доступа к объектам — настройка данного аудита в те моменты, когда есть обоснованные опасения о наличии в сети попыток несанкционированного доступа.

Мониторинг производительности

Мы рассмотрим два основных инструмента мониторинга производительности систем Windows Server — программу " Диспетчер задач ", которая предназначена для мониторинга работы приложений и служб сервера в реальном времени, и консоль "Производительность ", которая может осуществлять мониторинг производительности как в реальном времени, так и путем накопления статистики о работе системы за определенный период времени, причем консоль " Производительность " может показывать и собирать данные одновременно с нескольких систем.

Диспетчер задач

Чтобы открыть " Диспетчер задач ", основной инструмент мониторинга и управления системными процессами иприложениями, нужно выполнить одно из перечисленных действий:

• нажать комбинацию клавиш CTRL+SHIFT+ESC;
• нажать комбинацию клавиш CTRL+ALT+DELETE и нажать кнопку " Диспетчер задач ";
• нажать кнопку " Пуск ", выбрать пункт меню " Выполнить ", ввести taskmgr и нажать кнопку " ОК ";
• щелкнуть правой кнопкой мыши на панели задач и выбрать в контекстном меню команду " Диспетчер задач ".

Настройка общих параметров " Диспетчера задач "

Прежде чем изучать работу данной программы по управлению приложениями и процессами, сделаем некоторые настройки, позволяющие повысить удобство использования программы:

• в меню " Параметры " уберем галочку у параметра "Поверх остальных окон" ("Диспетчер задач" не будет перекрывать окна других программ);
• в меню " Вид " у параметра " Скорость обновления " установим значение " Низкая " (это снизит нагрузку на процессор системы со стороны самого " Диспетчера задач ").

Управление приложениями

На закладке " Приложения " показан статус программ, работающих в данный момент в системе (рис. 16.13):

Рис. 16.13.

Кнопки в нижней части вкладки предназначены для выполнения следующих действий:

• остановка работы приложения — выберите приложение и щелкните кнопку " Снять задачу ";
• переход к окну нужного приложения — выберите приложение и щелкните кнопку " Переключиться ";
• запуск новой программы — щелкните кнопку " Новая задача " и введите команду для запуска приложения (кнопка " Новая задача " функционально аналогична команде " Выполнить " из меню " Пуск ").

Замечание. В столбце " Состояние " для каждого приложения указано, нормально ли выполняется данное приложение. Статус " Не отвечает " свидетельствует о том, что приложение, возможно, "зависло" и надо завершить связанные с ним процессы. Однако некоторые приложения не отвечают назапросы системы в ходе выполнения интенсивных расчетов. Поэтому, прежде чем закрыть приложение, убедитесь, что оно действительно "зависло".

Контекстное меню списка приложений

При щелчке правой кнопкой мыши на строке приложения или группы приложений в списке отображается контекстное меню, позволяющее:

• переходить к приложению и делать его активным;
• переводить приложение на передний план;
• сворачивать и восстанавливать приложение;
• изменять расположение окон приложений;
• закрывать приложение;
• выделять на вкладке " Процессы " процесс, связанный с этим приложением.

Замечание. Команда " Перейти к процессу " полезна, когда необходимо найти основной процесс для приложения, запустившего несколько процессов.

Управление процессами

Подробная информация о выполняемых процессах отображается на закладке " Процессы " (рис. 16.14):

Рис. 16.14.

По умолчанию в этом окне перечислены только процессы, запущенные ОС, локальными службами, сетевыми службами и интерактивным пользователем, т. е. пользователем, локально зарегистрировавшимся на компьютере. Чтобы увидеть процессы, запущенные удаленными пользователями, например подключившимися с помощью удаленного рабочего стола, надо установить галочку у поля " Отображать процессы всех пользователей ".

В столбцах на закладке " Процессы " содержится информация о выполняемых процессах. Она позволяет выявить те из них, которые поглощают системные ресурсы, например, процессорное время или память. По умолчанию отображаются следующие столбцы:

• Имя образа — имя процесса или исполняемого файла, запустившего процесс;
• Имя пользователя — имя пользователя или системной службы, запустившей процесс;
• ЦП — доля ресурсов ЦП (в процентах), занимаемая данным процессом;
• Память — объем оперативной памяти, занятой процессом в данный момент.

При выборе в меню " Вид " команды " Выбрать столбцы ", откроется диалоговое окно, из которого на закладку " Процессы " можно добавить другие столбцы (рис. 16.15):

Рис. 16.15.

Некоторые из них могут оказаться очень полезными при поисках причин системной проблемы.

• Идентиф. процесса (PID) — цифровой идентификатор процесса в системе (позволяет найти процесс по его номеру, отображаемому не только в " Диспетчере задач ", но и в других утилитах управления);
• Объем виртуальной памяти — объем памяти данного процесса в килобайтах, выгруженной в данный момент в файл подкачки;
• Базовый приоритет — мера объема системных ресурсов, выделенных процессу; чтобы задать приоритет процесса, щелкните его правой кнопкой мыши, раскройте подменю " Приоритет " и выберите нужный вариант — " Низкий ", " Ниже среднего ", " Средний ", " Выше среднего " и " Реального времени "; большинству процессов по умолчанию назначен средний приоритет; наивысший приоритет назначается процессам реального времени;
• Время ЦП — процессорное время, затраченное на выполнение процесса с момента его запуска; чтобы найти процессы, на выполнение которых расходуется больше всего времени, отобразите этот столбец и щелкните его заголовок, чтобы отсортировать процессы по содержимому столбца;
• Выгружаемый пул, Невыгружаемый пул — выгружаемым пулом называется область системной памяти, предназначенная для объектов, которые при ненадобности можно хранить на диске; невыгружаемый пул — это область системной памяти для объектов, которые на диск записывать нельзя (стоит обращать внимание на процессы, которым требуется значительный объем невыгружаемой памяти — если на сервере недостаточно свободной памяти, эти процессы могут стать причиной большого количества ошибок);
• Ошибок страницы — ошибка страницы возникает, если процесс запрашивает страницу памяти, а система не находит ее по указанному адресу; если запрашиваемая страница хранится в другой области памяти, ошибка называется программной; если запрашиваемую страницу приходится считывать с диска, ошибка называется ошибкой физической памяти; процессоры, как правило, справляются с большинством программных ошибок; ошибки физической памяти могут существенно замедлить работу системы
• Память - максимум — максимальный объем памяти, использованной процессом (на разницу между этим параметром и текущим объемом памяти, занятой процессом, тоже следует обращать внимание — если приложению, например, Microsoft SQL Server, в моменты пиковых нагрузок требуется гораздо больше памяти, чем при обычной работе, возможно, стоит сразу при запуске выделять ему больше памяти);
• Счетчик дескрипторов — полное число дескрипторов файлов, поддерживаемых процессом; эта характеристика позволяет оценить, насколько процесс зависит от файловой системы (С некоторыми процессами связаны тысячи дескрипторов открытых файлов, и каждый из них занимает некоторый объем системной памяти);
• Счетчик потоков — текущее число потоков, используемых процессом; большинство серверных приложений являются многопотоковыми, что позволяет одновременно выполнять несколько запросов процесса; некоторые приложения способны динамически управлять числом одновременно исполняемых потоков, что позволяет повысить их производительность; чрезмерное увеличение количества потоков ухудшает производительность, так как ОС приходится слишком часто переключать контексты потоков;
• Число чтений, Число записей — полное число операций чтения с диска и записи на диск с момента запуска процесса; этот параметр показывает, насколько активно процессом используется диск (если рост числа операций ввода-вывода не согласуется с реальной активностью сервера, процесс, вероятно, не способен кэшировать файлы или кэширование файлов неверно настроено).

Замечание. В списке процессов присутствует процесс " Бездействие системы ". Он отслеживает объем неиспользуемых ресурсов. Так, число 99 в столбце ЦП (CPU) означает, что 99% системных ресурсов в настоящий момент не используется. Приоритет этого процесса задать нельзя.

Просматривая информацию о процессах, надо помнить, что одно приложение может породить несколько процессов. Обычно все они зависят от родительского процесса и формируют расходящееся от него дерево процессов. Чтобы найти главный (родительский) процесс для данного приложения, на закладке "Приложения" щелкните приложение правой кнопкой мыши и выберите команду " Перейти к процессу ". Чтобы корректно завершить работу приложения с помощью " Диспетчера задач ", останавливайте либо само приложение, либо его главный процесс. Не останавливайте по отдельности зависимые процессы.

Остановить главный процесс приложения и порожденные им вторичные процессы можно несколькими способами:

• выделить приложение на закладке " Приложения " и щелкнуть кнопку " Снять задачу ";
• на закладке "Процессы" щелкнуть правой кнопкой мыши главный процесс приложения и выбрать команду " Завершить процесс ";
• на закладке "Процессы" щелкнуть правой кнопкой мыши главный или вторичный процесс приложения и выбрать команду " Завершить дерево процессов ".