Мониторинг сетевых устройств. Мониторинг серверов (просмотр событий, аудит, мониторинг производительности, определение узких мест, мониторинг сетевой активности)

Стр 1 из 5Следующая ⇒

Просмотр событий

Одно из самых часто используемых и наиболее важных средств мониторинга системы — это регистрация различных событий в журналах операционной системы Windows. Регистрацию событий в системе Windows осуществляет служба " Журнал событий " ( Event Log ). В любой системе семейства Windows всегда присутствуют 3 журнала:

журнал " Система " ( System ) — события, записанные в журнал компонентами операционной системы (например, сбой в запуске службы при перезагрузке); расположение журнала по умолчанию — в папке " %SystemRoot%\system32\config\SysEvent.Evt ";
журнал " Безопасность " ( Security ) — регистрация событий, относящихся к системе безопасности (например, попытки регистрации пользователей, изменения в политиках безопасности, попытки доступа к различным ресурсам); набор событий, регистрируемых в журнале " Безопасность ", настраивается локальной или групповых политик (об управлении аудитом событий безопасности — в следующем подразделе); расположение по умолчанию — " %SystemRoot%\system 32\сопfig\SecEvent.Evt ";
журнал " Приложение " ( Application ) — события, порожденные различными приложениями (например, сбой MS SQL при доступе к базе данных); набор событий, регистрируемых в журнале " Приложения ", определяется разработчиками приложений; расположение по умолчанию — " %SystemRoot%\system32\config\AppEvent.Evt ".

При установке в системе каких-либо компонент могут появиться журналы, регистрирующие события, относящиеся к работе данных компонент.

При установке службы DNS появляется журнал " DNS-сервер " ( DNS Server ), регистрирующий события, связанные с работой службы DNS (расположение по умолчанию — " %SystemRoot%\system32\config\DNSEvent.Evt " ).

При создании контроллера домена в системе появляются журналы:

журнал " Служба каталогов " ( Directory Service ) — события, порожденные службой каталогов Active Directory;. расположение по умолчанию — " %SystemRoot%\system32\config\NTDS.Evt ";
журнал " Служба репликации файлов " ( File Replication Service ) — события, связанные с репликацией файлов (в первую очередь файлы в папке SYSVOL и файлы в сетевых папках, управляемых рапределенной файловой системой DFS); расположение по умолчанию — " %SystemRoot%\system32\config\NtFrs.Evt ".

Работа с журналами

Открыть системные журналы можно следующими способами:

открыть консоль " Управление компьютером " и в разделе " Служебные программы " открыть оснастку " Просмотр событий ";
открыть отдельную консоль " Просмотр событий " в разделе " Администрирование " Главного меню системы Windows (рис. 16.1).

Рис. 16.1.

В левой части консоли будет список имеющихся на данном компьютере журналов, в правой части — список событий для выбранного журнала.

В большинстве журналов события бывают трех видов:

Уведомление — информация о событии, связанным с успешным действием (например, успешный запуск или останов службы, успешное завершение операции какой-либо службы);
Предупреждение — информация о событиях, которые в будущем могут вызвать проблемы в работе системы;
Ошибка — сообщение об ошибке (например, сбой при запуске службы).

В журнале " Безопасность " — 2 типа событий:

Аудит успехов — событие, связанное с успешным выполнением действия, связанного с системой безопасности (например, успешный вход в систему или успешный доступ к сетевому ресурсу);
Аудит отказов — событие, связанное со сбоем в выполнении действия, связанного с системой безопасности (например, отказ в аутентификации пользователя при входе в систему по причине ввода неверного пароля, блокировка учетной записи после нескольких неудачных попыток входа в систему, отказ в доступе к сетевому ресурсу).

В столбцах журнала, кроме типа события, содержатся следующие данные:

Дата и время регистрации события;
Источник — приложение, служба или системная компонента, записавшие событие в журнал;
Категория — категория события, иногда используемая для его более подробного описания;
Событие — код события;
Пользователь — учетная запись пользователя, действовавшая в момент события;
Компьютер — имя компьютера, на котором произошло событие.

Если открыть какое-либо событие, то можно получить более детальную информацию о нем (рис. 16.2):

Описание — текстовое описание события;
Данные — любые данные, сгенерированные событием, или связанный с ним код ошибки.

Рис. 16.2.

Аудит

Настройка политик аудита — важный фактор обеспечения безопасности и целостности системы. Каждая компьютерная система в сети должна быть настроена для протоколирования определенных событий, относящихся к системе безопасности. Политики аудита определяют, какие именно события в области безопасности системы должны регистрироваться в журнале " Безопасность ".

Процесс аудита безопасности настраивается с помощью групповых политик (напомним, что групповые политики можно определять для сайта, домена или организационного подразделения, а также для отдельной рабочей станции или сервера). Параметры аудита безопасности находятся в разделе " Параметры безопасности — Локальные политики — Политики аудита " любого объекта групповых политик.

На рис. 16.8 изображены стандартные политики аудита для организационного подразделения " Контроллеры домена ".

Рис. 16.8.

Рассмотрим параметры этого раздела:

Аудит входа в систему регистрирует события, связанные с регистрацией пользователя на данном компьютере, окончанием сеанса работы и удаленными соединениями с сетевыми системами;
Аудит доступа к объектам регистрирует попытки доступа пользователей к различным объектам — файлам, папкам, принтерам и объектам Active Directory;
Аудит доступа к службе каталогов регистрирует доступ к Active Directory;
Аудит изменения политики регистрирует изменения разрешений доступа пользователей, аудита и доверительных отношений;
Аудит использования привилегий регистрирует применение разрешений доступа и привилегий пользователя (например, использование прав резервного копирования файлов и каталогов);
Аудит отслеживания процессов регистрирует системные процессы и ресурсы, используемые процессами;
Аудит системных событий регистрирует запуск, выключение и перезагрузку системы, а также действия, влияющие на безопасность системы или на журнал безопасности;
Аудит событий входа в систему регистрирует события, связанные с регистрацией пользователя в домене;
Аудит управления учетными записями регистрирует управление учетными записями посредством консоли " Active Directory - пользователи и компьютеры " (события генерируются каждый раз, когда учетные записи пользователя, компьютера или группы создаются, изменяются или удаляются).

Аудит доступа к объектам

Рассмотрим подробнее аудит доступа к объектам. Необходимость регистрации событий доступа к объектам возникает, когда есть подозрения, что кто-то из пользователей пытается получить несанкционированный доступ к информации, к которой он не должен иметь доступа.

По умолчанию на обычном сервере или рабочей станции политики аудита доступа к объектам отключены. Включим данные политики (на уровне сайта, домена или нужного нам ОП) — откроем данный параметр в редакторе политик и установим регистрацию как успешных, так и неуспешных попыток доступа к объектам (рис. 16.9).

Рис. 16.9.

После применения политик настроим аудит доступа для нужных объектов (например, для папки Folder1 на сервере DC1 ) — откроем Свойства данной папки (папка должна быть размещена на разделе с файловой системой NTFS), перейдем на закладку " Безопасность ", нажмем кнопку " Дополнительно " и перейдем на закладку " Аудит ". Добавим в список пользователей, для которых будут отслеживаться попытки доступа к папке Folder1, группу " Пользователи домена " и установим, какие именно попытки будут регистрироваться в журнале " Безопасность " (например, попытки удаления папок и файлов, успешные и неуспешные, рис. 16.10).

Рис. 16.10.

Теперь для проверки работы механизма аудита удалим какой-нибудь файл в этой папке, а затем просмотрим соответствующие события, появившиеся в журнале " Безопасность ". Пример события, зарегистрировавшего в журнале безопасности удаление файла " Документ.doc ", показан на рис. 16.11 и 16.12:

Рис. 16.11.

Рис. 16.12.

На рис. 16.11 видно, что пользователь Администратор получил успешный доступ к файлу " H: \Folder1\Документ.doc " на компьютере DC1, а на рис. 16.12 показан вид доступа — DELETE ( Удаление ).

Не рекомендуем злоупотреблять применением политик аудита доступа к объектам и регистрацией доступа к большому числу объектов, т.к. системой генерируется очень большое число записей, отыскать среди которых нужные будет весьма непросто. К тому же надо будет постоянно заботиться о сохранении старых записей и очистке журнала. Наиболее рациональный способ применения аудита доступа к объектам — настройка данного аудита в те моменты, когда есть обоснованные опасения о наличии в сети попыток несанкционированного доступа.

Диспетчер задач

Чтобы открыть " Диспетчер задач ", основной инструмент мониторинга и управления системными процессами иприложениями, нужно выполнить одно из перечисленных действий:

нажать комбинацию клавиш CTRL+SHIFT+ESC;
нажать комбинацию клавиш CTRL+ALT+DELETE и нажать кнопку " Диспетчер задач ";
нажать кнопку " Пуск ", выбрать пункт меню " Выполнить ", ввести taskmgr и нажать кнопку " ОК ";
щелкнуть правой кнопкой мыши на панели задач и выбрать в контекстном меню команду " Диспетчер задач ".

Настройка общих параметров " Диспетчера задач "

Прежде чем изучать работу данной программы по управлению приложениями и процессами, сделаем некоторые настройки, позволяющие повысить удобство использования программы:

в меню " Параметры " уберем галочку у параметра " Поверх остальных окон" (" Диспетчер задач" не будет перекрывать окна других программ);
в меню " Вид " у параметра " Скорость обновления " установим значение " Низкая " (это снизит нагрузку на процессор системы со стороны самого " Диспетчера задач " ).

Управление приложениями

На закладке " Приложения " показан статус программ, работающих в данный момент в системе (рис. 16.13):

Рис. 16.13.

Кнопки в нижней части вкладки предназначены для выполнения следующих действий:

остановка работы приложения — выберите приложение и щелкните кнопку " Снять задачу ";
переход к окну нужного приложения — выберите приложение и щелкните кнопку " Переключиться ";
запуск новой программы — щелкните кнопку " Новая задача " и введите команду для запуска приложения (кнопка " Новая задача " функционально аналогична команде " Выполнить " из меню " Пуск " ).

Замечание. В столбце " Состояние " для каждого приложения указано, нормально ли выполняется данное приложение. Статус " Не отвечает " свидетельствует о том, что приложение, возможно, " зависло" и надо завершить связанные с ним процессы. Однако некоторые приложения не отвечают назапросы системы в ходе выполнения интенсивных расчетов. Поэтому, прежде чем закрыть приложение, убедитесь, что оно действительно " зависло".

Контекстное меню списка приложений

При щелчке правой кнопкой мыши на строке приложения или группы приложений в списке отображается контекстное меню, позволяющее:

переходить к приложению и делать его активным;
переводить приложение на передний план;
сворачивать и восстанавливать приложение;
изменять расположение окон приложений;
закрывать приложение;
выделять на вкладке " Процессы " процесс, связанный с этим приложением.

Замечание. Команда " Перейти к процессу " полезна, когда необходимо найти основной процесс для приложения, запустившего несколько процессов.

Управление процессами

Подробная информация о выполняемых процессах отображается на закладке " Процессы " (рис. 16.14):

Рис. 16.14.

По умолчанию в этом окне перечислены только процессы, запущенные ОС, локальными службами, сетевыми службами и интерактивным пользователем, т. е. пользователем, локально зарегистрировавшимся на компьютере. Чтобы увидеть процессы, запущенные удаленными пользователями, например подключившимися с помощью удаленного рабочего стола, надо установить галочку у поля " Отображать процессы всех пользователей ".

В столбцах на закладке " Процессы " содержится информация о выполняемых процессах. Она позволяет выявить те из них, которые поглощают системные ресурсы, например, процессорное время или память. По умолчанию отображаются следующие столбцы:

Имя образа — имя процесса или исполняемого файла, запустившего процесс;
Имя пользователя — имя пользователя или системной службы, запустившей процесс;
ЦП — доля ресурсов ЦП (в процентах), занимаемая данным процессом;
Память — объем оперативной памяти, занятой процессом в данный момент.

При выборе в меню " Вид " команды " Выбрать столбцы ", откроется диалоговое окно, из которого на закладку " Процессы " можно добавить другие столбцы (рис. 16.15):

Рис. 16.15.

Некоторые из них могут оказаться очень полезными при поисках причин системной проблемы.

Идентиф. процесса (PID) — цифровой идентификатор процесса в системе (позволяет найти процесс по его номеру, отображаемому не только в " Диспетчере задач ", но и в других утилитах управления);
Объем виртуальной памяти — объем памяти данного процесса в килобайтах, выгруженной в данный момент в файл подкачки;
Базовый приоритет — мера объема системных ресурсов, выделенных процессу; чтобы задать приоритет процесса, щелкните его правой кнопкой мыши, раскройте подменю " Приоритет " и выберите нужный вариант — " Низкий ", " Ниже среднего ", " Средний ", " Выше среднего " и " Реального времени "; большинству процессов по умолчанию назначен средний приоритет; наивысший приоритет назначается процессам реального времени;
Время ЦП — процессорное время, затраченное на выполнение процесса с момента его запуска; чтобы найти процессы, на выполнение которых расходуется больше всего времени, отобразите этот столбец и щелкните его заголовок, чтобы отсортировать процессы по содержимому столбца;
Выгружаемый пул, Невыгружаемый пул — выгружаемым пулом называется область системной памяти, предназначенная для объектов, которые при ненадобности можно хранить на диске; невыгружаемый пул — это область системной памяти для объектов, которые на диск записывать нельзя (стоит обращать внимание на процессы, которым требуется значительный объем невыгружаемой памяти — если на сервере недостаточно свободной памяти, эти процессы могут стать причиной большого количества ошибок);
Ошибок страницы — ошибка страницы возникает, если процесс запрашивает страницу памяти, а система не находит ее по указанному адресу; если запрашиваемая страница хранится в другой области памяти, ошибка называется программной; если запрашиваемую страницу приходится считывать с диска, ошибка называется ошибкой физической памяти; процессоры, как правило, справляются с большинством программных ошибок; ошибки физической памяти могут существенно замедлить работу системы
Память - максимум — максимальный объем памяти, использованной процессом (на разницу между этим параметром и текущим объемом памяти, занятой процессом, тоже следует обращать внимание — если приложению, например, Microsoft SQL Server, в моменты пиковых нагрузок требуется гораздо больше памяти, чем при обычной работе, возможно, стоит сразу при запуске выделять ему больше памяти);
Счетчик дескрипторов — полное число дескрипторов файлов, поддерживаемых процессом; эта характеристика позволяет оценить, насколько процесс зависит от файловой системы (С некоторыми процессами связаны тысячи дескрипторов открытых файлов, и каждый из них занимает некоторый объем системной памяти);
Счетчик потоков — текущее число потоков, используемых процессом; большинство серверных приложений являются многопотоковыми, что позволяет одновременно выполнять несколько запросов процесса; некоторые приложения способны динамически управлять числом одновременно исполняемых потоков, что позволяет повысить их производительность; чрезмерное увеличение количества потоков ухудшает производительность, так как ОС приходится слишком часто переключать контексты потоков;
Число чтений, Число записей — полное число операций чтения с диска и записи на диск с момента запуска процесса; этот параметр показывает, насколько активно процессом используется диск (если рост числа операций ввода-вывода не согласуется с реальной активностью сервера, процесс, вероятно, не способен кэшировать файлы или кэширование файлов неверно настроено).

Замечание. В списке процессов присутствует процесс " Бездействие системы ". Он отслеживает объем неиспользуемых ресурсов. Так, число 99 в столбце ЦП (CPU) означает, что 99% системных ресурсов в настоящий момент не используется. Приоритет этого процесса задать нельзя.

Просматривая информацию о процессах, надо помнить, что одно приложение может породить несколько процессов. Обычно все они зависят от родительского процесса и формируют расходящееся от него дерево процессов. Чтобы найти главный (родительский) процесс для данного приложения, на закладке " Приложения" щелкните приложение правой кнопкой мыши и выберите команду " Перейти к процессу ". Чтобы корректно завершить работу приложения с помощью " Диспетчера задач ", останавливайте либо само приложение, либо его главный процесс. Не останавливайте по отдельности зависимые процессы.

Остановить главный процесс приложения и порожденные им вторичные процессы можно несколькими способами:

выделить приложение на закладке " Приложения " и щелкнуть кнопку " Снять задачу ";
на закладке " Процессы" щелкнуть правой кнопкой мыши главный процесс приложения и выбрать команду " Завершить процесс ";
на закладке " Процессы" щелкнуть правой кнопкой мыши главный или вторичный процесс приложения и выбрать команду " Завершить дерево процессов ".

Журнал оповещений

Основное назначение этих журналов — обнаружение ситуации, когда какие-то показатели превышают или становятся меньше определенных критических значений, и выполнение каких-либо действий в качестве реакции на данное событие (регистрация события в системном журнале, отправка сообщения администратору, запуск соответствующей программы).

Для создания нового журнала в меню " Действие " необходимо выбрать пункт " Новые параметры оповещений ", после чего надо задать имя журнала. Для нашего примера сразу же определим счетчик, значения которого будет отслеживать данный журнал оповещений — " Процессор\%загруженности процессора ", пороговое значение — 5%, отношение — " Больше", и интервал опроса показаний системы — 1 секунда. Нажмем кнопку " Применить " (рис. 16.30):

Рис. 16.30.

Эти настройки означают, что журнал оповещений с именем " Alert-1 " будет реагировать на события, когда суммарная загруженность процессоров сервера превысит 5%.

На закладке " Действие " определим те действия, которые будет выполнять система в случае возникновения данного события:

Сделать запись в журнале событий приложений — если включить данный параметр, то при наступлении события в журнале " Приложение " будет сделана соответствующая запись;
Послать сетевое сообщение — в данном случае система пошлет сообщение на тот компьютер или тому пользователю, чье имя указано в настройках (в примере — пользователю " Администратор " ), для отправки и получения сообщений на сервере-отправителе и на компьютере-получателе должна работать служба " Оповещатель " ( Messenger; по умолчанию эта служба отключена);
Запустить журнал производительности — позволяет запустить созданный и настроенный журнал производительности на данном сервере, чтобы начать сбор статистики по интересующим параметрам;
Запустить программу — запустить любую программу (можно при этом задать параметры командной строки, необходимые для программы).

В нашем примере включим первые 2 параметра (рис. 16.31):

Рис. 16.31.

На закладке " Расписание " задается расписание запуска данного журнала (установим ручной режим запуска и запустим данный журнал, при этом включим и запустим службу " Оповещатель " ).

При превышении загрузки процессора порогового значения 5% на экране рабочего места пользователя с именем " Администратор " будут появляться сообщения, изображенные на рис. 16.32, а в журнале " Приложение " будут регистрироваться аналогичные записи (рис. 16.33).

Рис. 16.32.

Рис. 16.33.

Рекомендации по критическим значениям счетчиков

Определенный набор счетчиков являются очень наглядными индикаторами загруженности системы. Регулярное превышение предельных значений этих счетчиков является показателем перегруженности тех или иных компонент системы. Перечислим эти счетчики в табл. 16.1.

Таблица 16.1.
Счетчик	Предельно значение	Описание
Память - Страницы/сек		Данный счетчик показывает суммарное количество чтений и записи страниц файла подкачки в секунду. Если значение данного счетчика превышает значение 20, это говорит о том, что в системе идет слишком интенсивный обмен страниц файла подкачки, что, в свою очередь, сигнализирует о недостатке оперативной памяти.
Физический диск - Средняя длина очереди	Число жестких дисков (число шпинделей) + 2	Данный счетчик показывает среднюю длину очереди системных запросов на выполнение операций ввода/вывода на жесткий диск. Постоянное превышение этого показателя говорит о том, что либо в системе имеется нехватка оперативной памяти (и слишком интенсивный обмен страниц файла подкачки), либо дисковая подсистема недостаточно производительна для выполнения задач, возложенных на данную систему.
Процессор - % Проц. времени		Постоянная загруженность процессора более чем на 85% как правило является показателем перегруженности сервера вычислительными задачами. Хотя иногда высокий показатель является требуемым значением для данного сервера. В некоторых случаях высокая загруженность процессора может возникать при сбоях в какой-либо подсистеме или приложении. Такие приложения и системные модули надо определять и корректировать ошибки (например, устанавливать исправления или даже удалять некорректные приложения).
Система - Длина очереди процессора		Данный счетчик отображает число потоков, ожидающих очереди на исполнение. Очередь потоков хранится в одной области для всех процессоров системы. Если длина очереди систематически превышает 2, процессоры нужно обновлять. Этот счетчик является более объективным показателем загруженности процессорной системы в многопроцессорных серверах, чем счетчик " Процессор - % Проц. времени ".

В каждой системе могут быть и другие важные счетчики, значения которых показывают те или иные перегрузки или недостаток ресурсов (например, % свободного пространства на логических дисках). Для отдельных приложений имеются свои специфические счетчики (в частности, для MS SQL Server). Описание мониторинга данных счетчиков и их предельные значения приводятся в документации по соответствующим приложениям.

Мониторинг сетевой активности

Системы семейства Windows Server позволяют осуществлять мониторинг сетевой активности на низком уровне — на уровне сетевых фреймов, передаваемых и принимаемых сетевыми адаптерами компьютера. Для выполнения этой задачи служит компонента системы " Сетевой монитор " (Network Monitor). Правда, штатная компонента " Сетевой монитор " имеет ограничение — она захватывает только те сетевые пакеты, которые передаются данному компьютеру (на котором запущен " Сетевой монитор " ) или отправляются с данного компьютера, в том числе широковещательные пакеты. " Сетевой монитор " — мощный инструмент для обнаружения различных сетевых проблем и неполадок, позволяющий детально изучать содержимое передаваемых по сети пакетов.

Все данные, пересылаемые по сети от одного сетевого адаптера другому, состоят из фреймов (кадров). Каждый фрейм содержит следующую информацию:

Адрес источника (отправителя) — MAC-адрес сетевого адаптера, с которого отправлен кадр;
Адрес назначения (получателя) — MAC-адрес сетевого адаптера, которому предназначался кадр (этот адрес может также определять группу сетевых адаптеров);
Данные заголовка — информация, содержащая описание для каждого протокола, используемого при передаче кадра;
Данные — передаваемые данные (или часть данных).

В обычном состоянии каждый сетевой адаптер принимает только те фреймы, которые адресованы данному адаптеру (или всем сетевым адаптерам при отправке широковещательных пакетов). Все остальные фреймы сетевыми адаптерами игнорируются. Все захватываемые в процессе работы " Сетевого монитора " фреймы сохраняются в буфере захвата (по умолчанию размер буфера 1 МБ, поэтому " Сетевой монитор " хранит только последний мегабайт захваченных фреймов). Захваченные фреймы после окончания процесса захвата и изучения можно сохранить в файле с расширением " .cap " для последующего более детального изучения.

Установка " Сетевого монитора "

" Сетевой монитор " устанавливается так же, как и другие компоненты системы: " Панель управления " — " Установка и удаление программ " — кнопка " Установка компонентов Windows " — " Средства управление и наблюдения " — кнопка " Состав " — " Средства сетевого монитора ". После установки " Сетевого монитора " в разделе " Администрирование " Главного меню системы появляется соответствующий ярлык.

Запуск " Сетевого монитора " и выбор сетевого интерфейса

При запуске " Сетевого монитора " администратору необходимо выбрать тот интерфейс, для которого будет производиться захват сетевых пакетов. " Сетевой монитор " может перехватывать фреймы для различных типов интерфейсов — сетевые адаптеры, модемы, VPN-соединения. После запуска " Сетевого монитора " администратор видит запрос, изображенный на рис. 16.34:

Рис. 16.34.

Выберем " Подключение по локальной сети " (рис. 16.35). Для выбранного подключения программа показывает краткую сводку: модель сетевого адаптера, MAC-адрес адаптера, скорость передачи данных, максимальный размер фрейма (в данном примере — 1500 байт).

Рис. 16.35.

Резюме

Данный раздел посвящен вопросам мониторинга сетевых узлов и состоит из четырех частей:

просмотр событий, регистрируемых системой;
аудит, т.е. целенаправленное отслеживание определенных видов событий;
мониторинг производительности;
мониторинг сетевой активности.

Консоль " Просмотр событий " позволяет просматривать события, регистрируемые системой и относящиеся к функционированию различных системных компонент:

самой операционной системы (журнал " Система " );
подсистемы безопасности (журнал " Безопасность " );
подсистемы исполнения приложений (журнал " Приложения " );
службы каталогов (для контроллеров доменов, журнал " Служба каталогов " );
службы DNS (если на сервере установлена служба DNS, журнал " DNS-сервер " );
службы репликации файлов (для контроллеров доменов, журнал " Служба репликации файлов " ).

Задача сетевого администратора — регулярный просмотр системных журналов с целью своевременного обнаружения уже возникших или предупреждения потенциальных неисправностей или атак злоумышленников. Для более удобного просмотра событий можно создать отдельную консоль, в которой будут отображаться события группы серверов и, возможно, отдельных рабочих станций.

Аудит различных событий заключается в разработке и реализации в системе политик аудита. Набор категорий событий, подлежащих аудиту, необходимо формировать на основе требований безопасности компании/организации и потенциальных угроз системе безопасности.

После определения и настройки политик аудита задача администратора снова сводится к регулярному просмотру журналов событий (в первую очередь — журнала " Безопасность " ).

Третья часть раздела посвящена описанию мониторинга производительности системы Windows. Рассмотрены два основных инструмента — " Диспетчер задач " и консоль " Производительность ". " Диспетчер задач " предназначен для наблюдения и оценки параметров производительности в реальном времени. Консоль " Производительность " позволяет как просматривать параметры производительности в реальном времени, так и накапливать статистику загруженности компонент системы в фоновом режиме с последующим детальным анализом, причем статистика может собираться с нескольких систем одновременно. Работа в режиме оповещений позволяет настроить отправку оповещений администратору в случае отклонения каких-либо параметров от допустимых значений.

Задача сетевого администратора — оценка функционирования системы с точки зрения производительности с целью обнаружения узких мест и принятия решения о перераспределении нагрузки между серверами или приобретении более мощных серверов.

В четвертой части рассказано о мониторинге сетевой активности не сточки зрения производительности и пропускной способности сети, а с точки зрения содержимого передаваемых по сети пакетов (фреймов). Изучение содержимого сетевых пакетов позволяет определить и ликвидировать некоторые сложныесетевые проблемы.

Задача сетевого администратора при анализе сетевой активности — поиск сетевых проблем на основе данных, содержащихся в сетевых фреймах.