 |
帖子主题: [推荐]第十九章 监控用户连接和系统进程 |
头衔:论坛总管理员
|
Admin   |
荣誉:管理员
职务:总版主
级别:圣骑士
积分:547
经验:3330
文章:271
注册:03-01-20 23:27
|
|
|
 发表: 2006-06-08 17:24:45 人气:13417  
[推荐]第十九章 监控用户连接和系统进程
这两天彭彭的服务器总是显得有点慢,怀疑有人连接在*贝东西,所以他想监控一下自己服务器的网络连接,弄明白究竟是怎么回事。幸好Windows 2000 Server自带了网络监视程序,可以查看与服务器通讯的网络连接。
19.1 我的服务器正在被谁连接
原本Windows 2000 自带了一个网络命令Netstat,可让用户直观、简单地查看当前服务器打开的端口,包括使用UDP和TCP建立的网络连接的目标地址。但要想具体了解包的内容和协议,就必须用到网络监视器。
19.1.1 安装网络监视器
首先是要安装网络监视器,在Windows 2000 Server光盘中提供了该程序,必须通过“添加/删除程序”进行安装。
1.首先打开“控制面板”中的“添加/删除程序”,单击左边按钮的“添加/删除Windows组件”。
2.在打开的“Windows组件向导”中,双击“管理和监视工具”(图19.1.1)。
图19.1.1 安装网络监视器组件
3.在“管理和监视工具”面板中将“网络监视工具”选中,然后继续下一步。
4.回到“Windows组件向导”面板,点击“下一步”进行安装。在安装的过程中按照系统弹出的提示插入Windows 2000 Server的安装光盘。
网络监视工具安装好后,在“开始→程序→管理工具”中将会增加网络监视器选项。
19.1.2 怎样使用网络监视器
网络监视器虽然安装好了,但彭彭要真正用好它,还得花费一定的时间进行学习。
首先单击“开始→程序→管理工具→网络监视器”,启动该监视程序(图19.1.2)。
图19.1.2 网络监视器
彭彭只要在网络监视器窗口中找到发送地址是自己服务器的IP地址,就可以很快查找出谁在连接他的计算机了(图19.1.2)。
除此之外,网络监视器还可以定制过滤规则,捕获某些符合条件的数据包,这一点对解决网络故障很有帮助。
1.选择“捕获”中的“筛选程序”(图19.1.3)。
图19.1.3 捕获筛选程序
2.双击地址对(图19.1.4),选中机器1,选择“Local”,方向选择“双向”,机器2选择“ANY”。意思就是所有和本机进行数据流(不管方向)接触的任一机器。
图19.1.4 地址表达式
3.连续选择确定,关闭筛选窗口,单击“捕获”中的“开始”按钮就可以捕获满足这些条件的数据包。过一段时间后,可以选择停止捕获并查看捕获的数据包(图19.1.5)。
图19.1.5 抓包结果
数据包的整个内容,包括IP包头、TCP包头、要查看的IP地址、TCP端口这样的具体信息,当然最好有点TCP/IP的知识,不然看到这些十六进制数就会头晕,幸好,彭彭在最开始接触网络的时候就恶补了这方面的知识。
Windows系统自带的抓包工具还是比较简单的,更加专业的抓包工具是NAI公司的Sniffer4.5,如果彭彭使用此工具的话,就可以更准确、更快速地解决问题了。
19.1.3 监视服务器的性能
彭彭想了解当前服务器的运行状况、内存、CPU等系统资源的利用率,也有好几种方法可以使用,其中最简单的就是使用任务管理器。
一、使用任务管理器
管理员对系统性能进行监视的工作根据实际情况有不同的选择,在仅需要获知有关CPU和内存的实时数据时,使用任务管理器进行简单性能监视是个不错的选择。任务管理器的性能监视功能虽然不够强大,但它灵活好用,对系统影响很小。任务管理器所提供的CPU利用率、内存使用率等数据对于判断系统当前状态和初步了解系统繁忙程度等任务都是非常有用的。
启动任务管理器的方法有两种:按下“Ctrl+Alt+Del”组合键,打开安全性对话框并单击“任务管理器”;或者右击任务栏空白处,选择“任务管理器”,均可打开下图所示的Windows任务管理器对话框,单击“性能”选项卡进行监视(图19.1.6)。
图19.1.6 任务管理器
任务管理器提供了CPU和内存使用情况的两个主要的实时图形窗口,以曲线的形式显示当前的CPU使用率和内存占用数量。在CPU占用率窗口,左侧柱型图实时标示CPU占用率,右侧曲线显示占用率的历史情况(图19.1.7)。
图19.1.7 CPU性能
在任务管理器的下部,分别列出了内存使用的详细信息,其中包括:系统进程/线程总数、物理内存、认可用量以及核心内存使用情况。这些数据为排错和性能分析提供了可*依据。例如CPU或内存使用率经常性居高不下意味着需要升级服务器;过多的进程意味着应当优化Web应用程序。
任务管理器所提供的性能监视工具虽然简便,但是功能太弱,对于复杂的、系统的服务器性能监视工作,还需借助于系统监视器进行。所以彭彭想进一步学习系统监视器的知识以达到专业的性能分析水平。
二、强大的监控性能的方法:使用系统监视器
在Windows 2000中系统监视器属于核心管理工具之一。它功能强大,可以用来监视服务器活动或监视所选时间段内服务器的性能。系统监视器既可以在实时图表或报告中显示性能数据,又可以在文件中收集数据或在关键事件发生时生成警告。
系统监视器监视的单位是“对象”,对象是指特定的控制服务器资源的服务或机制,例如处理器对象、内存对象、Web对象等。每一对象的不同方面的属性称为“计数器”,系统监视器真正记录的是这些计数器的值,例如处理器对象的“%Processer Time”计数器、内存对象的“Pages Fault/Sec”计数器等。
单击“开始→程序→管理工具→性能”,在“性能”工具的控制树中选择“系统监视器”,打开系统监视器MMC窗口(图19.1.8)。
图19.1.8 性能
启动系统监视器之后并没有任何缺省的监视内容运行,彭彭必须添加计数器才能让系统监视器工作,右击“性能监视器”,从弹出菜单上选择“添加计数器”,打开添加计数器对话框(图19.1.9)。
图19.1.9 添加计数器
首先应指定监视对象位于哪台服务器上,默认为监视本地服务器,选择“从计算机选择计数器”后亦可在列表中指定监视网络中其他计算机的对象。鉴于性能监视工作本身也会对系统性能造成影响,因此,彭彭通常在远程计算机上监视文件服务器中的CPU、内存等的使用情况。
从计数器窗口看到这么多的属性值,彭彭的头都有点大了,到底哪几项是最主要的呢?而且每项在什么范围内变化算是正常的呢?赶紧到处查资料吧。
对象\计数器 推 荐 值
内存\页数/秒 00-20(如果大于 80,表示有问题)。
内存\可用字节数 最少4MB。
内存\提交的字节数 不超过物理内存的75%。
内存\未分页的字节池 固定的(缓慢的增长表示存在内存泄露问题)。
处理器\% 处理器时间 小于75%。
处理器\中断次数/秒 与处理器有关。486/66 处理器最大为1,000;
P90 为3,500;P200大于7,000。越低越好。
处理器\处理器队列长度 小于2。
磁盘(逻辑磁盘或物理磁盘)\% 磁盘时间 尽可能低。
磁盘(逻辑磁盘或物理磁盘)\队列长度 小于2。
最典型的计数器及其推荐值列于上表中,超出推荐范围的对象即可认为已经成为系统瓶颈。
19.2 我的服务器都提供了哪些服务
彭彭在了解系统的性能后,想进一步了解自己的服务器到底运行了哪些服务,只有这样才能更好地合理配置它。
Windows 2000系统的“控制面板”中可以查看Windows 2000系统的服务。
单击“开始→设置→控制面板→管理工具→计算机管理”,打开服务(图19.2.1)。
图19.2.1 计算机管理
一、查看当前的服务进程
在图19.2.1所示的“状态“中显示“已启动”的服务是当前运行的服务。这些服务基本都是Windows 2000系统自带的服务,并且缺省启动。
二、停掉没有必要的服务
彭彭看到这么多服务,吓了一跳,这么多服务,都有用吗?经过一番了解后,彭彭知道了有些服务是不必要的,可以手工停止。
下面是C2级别安装的默认服务:
Computer Browser service TCP/IP NetBIOS Helper
Microsoft DNS Server Spooler
NTLM SSP Server
RPC Locator WINS
RPC service Workstation
Netlogon Event log
注意有些恶意程序也能以服务方式悄悄运行。要留意服务器上面开启的所有服务,周期性(每天)地检查它们。另外在DOS下,运行netstat an可以查看当前服务器的开放TCP和UDP端口,一般的木马后门程序在运行后都会开启端口监听客户端的连接,所以在查到可疑端口后,应立刻检查是否被恶意程序侵害。
三、监视一切可疑的进程
恶意程序运行后,一般都可以在任务管理器中看到它的进程。查看当前系统的进程列表可以打开任务管理器,点击进程选项(图19.2.2),可以查看目前系统运行的进程。若发现可疑的进程就可以用结束进程终止。
图19.2.2 进程管理器
19.3 仔细审计我的日志
彭彭了解了这么多的安全知识,真是收获颇丰。其实查看系统日志,也对系统的运行状况或安全有很重要的作用。
在Windows 2000系统的“控制面板”中可以查看Windows 2000系统的事件查看器。
打开“开始→设置→控制面板→管理工具→计算机管理”,点击“事件查看器”(图19.3.1)。
图19.3.1 事件查看器
一、事件查看器里都有些什么
通过使用事件查看器用户可以收集有关硬件、软件、系统问题的信息并监视Windows 2000 安全事件。
Windows 2000 以三种日志方式记录事件
应用程序日志
应用程序日志包含程序所记录的事件。例如,数据库程序可记录程序日志中的文件错误。程序开发人员决定监视哪个事件。
安全日志
安全日志包括有效和无效的登录尝试以及与资源使用相关的事件,如创建、打开或删除文件或其他对象。例如,如果用户已经启用登录和注销审核,则登录到系统的尝试将记录在安全日志中。
系统日志
系统日志包含 Windows 2000的系统组件记录的事件。例如,在启动过程将加载的驱动程序或其他系统组件的失败记录在系统日志中。Windows 2000预先确定由系统组件记录的事件类型。
二、事件查看器显示的五种类型事件
1.错误
重要的问题,如数据丢失或功能丧失。例如,如果在启动过程中某个服务加载失败,这个错误将会被记录下来。
2.警告
并不是非常重要,但有可能说明将来的潜在问题的事件。例如,当磁盘空间不足时,将会记录警告。
3.信息
描述了应用程序、驱动程序或服务的成功操作的事件。例如,当网络驱动程序加载成功时将会记录一个信息事件。
4.成功审核
成功的审核安全访问尝试。例如,用户试图登录系统成功会被作为成功审核事件记录下来。
5.失败审核
失败的审核安全登录尝试。例如,如果用户试图访问网络驱动器并失败了,则该尝试将会作为失败审核事件记录下来。
三、管理我的事件查看器中的安全日志
最近彭彭的服务器,在启动的时候,总报一个设备启动失败,在查过系统日志后,彭彭终于发现了问题,并成功解决了这个问题,这让他对使用日志排错更加有信心。而且日志还可以由自己管理,尤其是安全日志,需要管理员自己有选择地打开才能监控本机系统的安全状况。
启动 Windows 2000时,EventLog服务会自动启动。所有用户都可以查看应用程序和系统日志。只有管理员才能访问安全日志。在默认情况下,安全日志是关闭的,可以使用组策略来启用安全日志。管理员也可在注册表中设置审核策略,以便当安全日志写满后使系统停止响应。
事件查看器中的安全日志可以通过配置本地安全策略管理。运行“控制面板→管理工具→本地安全策略”( 图19.3.2)。
图19.3.2 本地安全策略
打开本地安全策略中的审核策略,可以根据需要开通策略,打开其中的审核登录事件、审核账户登录事件,就可以在事件查看器中的安全日志中看到哪个账户登录或试图登录本服务器,对预防本机受到安全威胁和取证都有很大帮助。
-----------------------------------------------------| 相关帖子 | |
| [推荐]第十九章 监控用户连接和系统进程 (Admin,13417,2006-06-08 17:24:45) |
|
|
回复帖子 注意: *为必填项 |
|
|
|
Copyright © 2018 外贸网站建设,SOHO英文网页制作,网站设计公司--伊路网络工作室 版权所有
本论坛内容纯属发表个人意见,与雪风伊路网络科技立场无关
论坛域名:bbs.elut.cn
页面执行时间:57毫秒
