Презентація на тему «Моніторинг та адміністрування операційних систем»
Лекція 13-14. Моніторинг та адміністрування операційних систем.
Викладач:
Карчевська Ольга Ігорівна,
асистент кафедри інформаційних систем та технологій,
Інститут підприємництва та перспективних технологій
Національного університету “Львівська політехніка”
Лекція 13-14. Моніторинг та адміністрування операційної системи Windows.
План лекції.
Засоби моніторингу системи.
Моніторинг продуктивності.
Моніторинг завантаженості системи.
Моніторинг завантаженості мережі.
Моніторинг віддалених підключень.
Консоль управління комп'ютером.
Створення консолі управління комп'ютером.
Політика безпеки.
Складові політики безпеки.
1. Засоби моніторингу системи.
Моніторинг – це процес систематичного збору та аналізу інформації щодо значень діагностичних параметрів стану комп'ютера.
Моніторинг системи поділяється на наступні види:
моніторинг продуктивності,
моніторинг завантаженості системи,
моніторинг завантаженості мережі,
моніторинг віддалених підключень.
Завданнями моніторингу системи є:
визначення робочого навантаження та його впливу на ресурси системи;
виявлення змін і тенденцій в робочому навантаженні і використанні ресурсів;
перевірка змін конфігурації та інших способів налаштувань шляхом спостереження результатів;
діагностика несправностей компонентів або процесів з метою оптимізації
2.1. Моніторинг продуктивності.
Для моніторингу продуктивності систем Windows існують два основні інструменти:
- програма "Диспетчер задач", яка призначена для моніторингу роботи програм і служб сервера в реальному часі,
- консоль "Продуктивність", яка може здійснювати моніторинг продуктивності як в реальному часі, так і шляхом накопичення статистики про роботу системи за певний період часу. При цьому консоль "Продуктивність" може показувати і збирати дані одночасно з декількох систем.
Консоль "Продуктивність" дозволяє більш детально дослідити функціонування системи в порівнянні з "Диспетчером завдань". Крім того, дана консоль дозволяє накопичувати статистику про роботу системи у фоновому режимі, без безпосереднього спостереження адміністратором системи, а також збирати дані про продуктивність з декількох комп'ютерів одночасно.
Консоль містить два розділи:
Системний монітор (призначений для спостереження за системою (або системами) в режимі реального часу).
Журнали та оповіщення продуктивності (використовуються для накопичення статистики у фоновому режимі і наступного вивчення накопичених даних).
При роботі в консолі "Продуктивність" використовуються поняття "Об'єкт" та "Лічильник". Поняття "Об'єкт" відноситься до тієї чи іншої компоненти системи або до певної програми і складається з набору "Лічильників" (числових показників), що вимірюють ступінь завантаженості даної компоненти.
Прикладами типових компонент, для котрих проводиться моніторинг, є: пам'ять, кеш, процес, потік, процесор, фізичний диск, сервер, система, об'єкти, файл підкачки.
Наприклад, об'єктом може бути процесор, а лічильниками для нього: відсоток завантаженості процесора, відсоток часу обробки переривань, відсоток часу бездіяльності. Очевидно, що для інших об'єктів лічильники будуть іншими.
Набір доступних об'єктів і лічильників оновлюється при установці служб і додаткових компонент. Наприклад, після установки на сервері служби DNS, консоль "Продуктивність" поповнюється рядом об'єктів і лічильників для відстеження роботи цієї служби.
2.2. Моніторинг продуктивності.
В розділі "Системний монітор" консолі "Продуктивність" відображаються три найважливих з точки зору операційної системи лічильника: "Обмін сторінок" (об'єкта "Пам'ять"), "Середня довжина черги диска" (об'єкта "Фізичний диск") і "% завантаженості процесора" (об'єкта "процесор").
Оновлення даних на екрані проводиться раз на секунду.
Для обраного активного процесу реєструються показники:
• Останній - остання отримане значення лічильника;
• Середній - середнє з усіх отриманий значень лічильника;
• Мінімум - мінімальне значення лічильника за період спостережень;
• Максимум - максимальне значення лічильника за період спостережень
2.3. Моніторинг продуктивності.
У вікні Системний монітор на панелі результатів у вигляді діаграм відображаються покази лічильників. Це вікно спочатку містить три лічильника: Обмін сторінок в сек (об'єкт Пам'ять), Середня довжина черги диска (об'єкт Фізичний диск) і% завантаженості процесора (об'єкт Процесор).
Для додавання інших лічильників потрібно виконати такі дії:
1. На панелі результатів клацнути правою кнопкою миші і в контекстному меню вибрати команду Додати лічильники. 2. У списку “об'єкт” вибрати об'єкт для моніторингу.
3. У списку “Вибрати лічильники зі списку” вказати лічильники, які збираєтеся використовувати.
4. Натиснути кнопку Додати і потім кнопку Закрити.
Наприклад, для моніторингу друку вибираємо об'єкт “Черга друку” та лічильник “Завдання”.
В правому списку можна вибрати конкретний принтер, який будемо відслідковувати, або усі (_Total).
2.4. Моніторинг продуктивності.
Розділ "Журнали та оповіщення продуктивності" у свою чергу складається з трьох частин:
• "Журнали лічильників" - виконують ті ж завдання, що і "Системний монітор", але у фоновому режимі і накопичують дані у файлі-журналі на жорсткому диску або в базі даних (це найбільш часто використовуваний розділ журналів продуктивності);
• "Журнали трасування" - відстеження запуску та роботи програм (універсальний системний відладчик, дозволяє визначити деякі помилки у функціонуванні тих чи інших додатків і системних завдань);
• “Сповіщення" - відстеження значень лічильників для відправки сповіщення визначеним для цього завдання користувачам (електронною поштою, за допомогою системної компоненти “Оповісник" (Messenger), та ін.)
Для створення нового журналу лічильників потрібно:
1. Запустити інструмент «Продуктивність» і відкрити вузол «Журнали та сповіщення продуктивності».
2. Вибрати вузол «Журнали лічильників», клацнути правою кнопкою миші на панелі результатів і в контекстному меню вибрати пункт «Нові параметри журналу».
3. У вікні, ввести довільне ім'я журналу в полі Ім'я, ОК (рисунок).
4. На вкладці «Загальні» натиснути кнопку Додати об'єкти для додавання об'єктів продуктивності. У вікні Додати об'єкти можна виділити одночасно кілька лічильників, утримуючи клавішу
При виборі об'єктів Додати об'єкти автоматично включаються всі лічильники, доступні для даного об'єкта. Вікно Додати лічильники дозволяє включити тільки окремі лічильники для обраного об'єкта.
5. На вкладці Файли журналу потрібно вибрати тип журналу (текстовий або двійковий файл). Цей файл потім використовується для створення звітів.
2.5. Моніторинг продуктивності.
Деякі граничні значення показників лічильників:
Ресурс
Об'єкт Лічильник
Рекомендоване граничне значення
Пояснення
Диск
Фізичний диск % вільного місцяЛогічний диск % вільного місця
15%
Процент активності диска - це відсоток часу, витраченого вибраним дисковим пристроєм на обробку запитів на читання і запис даних.
Диск
Фізичний диск % активності дискаЛогічний диск % активності диска
90%
Диск
Фізичний диск Звернень читання з диска/сек,
Фізичний диск Звернень запису на диск/сек
Залежить від технічних умов виробника
Перевірте зазначену швидкість передачі дисків, щоб перевірити, чи відповідає вона специфікаціям.
Диск
Фізичний диск Поточна довжина черги диска
Кількість осей обертання плюс 2
Це лічильник миттєвих значень; візьміть кілька значень, отриманих в різні моменти часу. Для спостереження за середнім значенням скористайтеся лічильником Фізичний диск Середня довжина черги диска.
Пам'ять
Пам'ять Доступно байт
Менше 4 Мбайт
Простежте за використанням пам'яті і збільште її обсяг, якщо потрібно
Пам'ять
Пам'ять Обмін сторінок в сек
20
Простежте за активністю процесу підкачки сторінок пам'яті.
Файл підкачки
Файл підкачки % використання
Більше 70%
Щоб отримати уявлення про обмін сторінок на комп'ютері, простежте за цим значенням спільно зі значеннями лічильників «Доступно байт» і «Обмін сторінок в сек».
Процесор.
Процесор % завантаженості процесора
85%
Знайдіть процес, що використовує найбільшу частку процесорного часу. Замініть процесор на більш швидкий або встановіть додатковий процесор
Процесор
Процесор Переривань/сек
Залежить від процесора; початкове значення - 1000 переривань в секунду
Значне збільшення значення цього лічильника без відповідного збільшення активності системи вказує на наявність неполадки. Визначте, яка мережева плата відправляє ці переривання. Можливо, буде потрібно встановити додаткову плату або контролер.
2.6. Моніторинг продуктивності.
Значення лічильників для вибраних показників наведено на рисунку.
Зважаючи на те, що у системі не відбувається жодних подій, то показники є низькими.
Дещо великим є значення “% використання файлу підкачки”.
3. Моніторинг завантаженості системи.
На закладці "Швидкодія" у вигляді графіків та статистичних даних відображається ступінь використання процесора і пам'яті.
Ця інформація дозволяє швидко оцінити навантаження на системні ресурси.
На графіках закладки "Швидкодія" відображена наступна інформація:• Завантаження центрального процесора - відсоток використовуваних у даний момент ресурсів процесора;• Хронологія завантаження центрального процесора - трафік зміни навантаження на процесор;• Файл підкачки - обсяг файлу підкачки (тобто віртуальної пам'яті), зайнятий системою в даний момент;• Хронологія використання файлу підкачки - графік використання файлу підкачки.
4. Моніторинг завантаженості мережі.
Для цього використовується "Диспетчер задач", вкладка мережа. На закладці "Мережа" наводяться відомості про мережеві адаптери, використовувані системою, відсоток завантаження, швидкість з'єднання і статус.
За замовчуванням відображаються наступні поля:
• Адаптер - ім'я, під яким адаптер значиться в папці Мережні підключення;
• Використання мережі - завантаження мережі у відсотках від вихідної швидкості підключення для даного інтерфейсу (наприклад, адаптер з вихідною швидкістю підключення 100 Мбіт/с і поточним трафіком 10 Мбіт/с завантажений на 10%);
• Швидкість лінії - швидкість підключення через даний інтерфейс;
• Стан - стан мережного адаптера.
Варто звертати увагу на несподіване підвищення відсотку використання мережі.
5. Моніторинг віддалених підключень.
На закладці "Користувачі" перераховані користувацькі сеанси як для локальних, так і для віддалених користувачів.
Для кожного підключення зазначені: ім'я користувача, код сеансу, стан, клієнтський комп'ютер і тип сеансу.
Користувачеві, зареєстрованому локально, відповідає тип сеансу "Консоль" (Console).
Для інших користувачів в цьому стовпці вказується протокол підключення, наприклад, RDP-TСР для підключення за допомогою протоколу RDP (Remote Desktop Protocol) і транспортного протоколу TCP.
Клацнувши на сеанс правою кнопкою миші, отримуємо доступ до наступних команд:• Підключити - підключення неактивного сеансу;• Вимкнути - відключення користувацького сеансу, із збереженням у сеансі всіх запущених користувачем додатків;• Вихід з системи - примусове завершення користувацького сеансу;• Віддалене управління - перехід до віддаленого управління користувальницьким сеансом з сеансу адміністратора (спільна робота в сеансі);• Відправити повідомлення - відправка повідомлення користувачам, які зареєструвалися на сервері терміналів.
6. Консоль управління комп'ютером.
Microsoft Management Console (MMC, консоль управління) - компонент операційних систем сімейства Windows, котрий дозволяє за допомогою гнучкого інтерфейсу конфігурувати та відстежувати роботу системи.
Консоль управління є основним стандартним засобом адміністрування Windows. Вона являє собою сукупність програм та утиліт, котрі називаються оснащеннями, та дозволяють налаштувати різні аспекти операційної системи. Адміністратор може вибрати ті оснащення, які йому потрібні для управління та згрупувати їх в одну консоль.
У консолі управління існує два типи оснащень:
Ізольоване оснащення – забезпечує виконання своїх функцій навіть за відсутності інших оснащень; наприклад, Computer Management (Управління комп'ютером).
Оснащення-розширення – може працювати тільки після активізації батьківського оснащення. Завдання оснащення-розширення полягає у збільшенні числа функцій, підтримуваних батьківським оснащенням. Оснастка-розширення є підлеглим елементом певних оснащень, і при кожному запуску цих оснащень консоль ММС автоматично запускає всі пов'язані з ними розширення.
У консоль може бути додано кілька екземплярів одного оснащення, щоб керувати кількома віддаленими комп'ютерами з однієї консолі або щоб відновити пошкоджену консоль.
Консоль управління можна запускати у двох режимах:
режим користувача, котрий дозволяє працювати з існуючими консолями ММС та адмініструвати систему,
авторський режим, котрий дозволяє створювати нові консолі або змінювати існуючі.
Системний адміністратор може налаштувати профілі користувачів так, щоб заборонити їм перехід в авторський режим.
7. Створення консолі управління комп'ютером.
Існують стандартні консолі управління, призначені для вирішення конкретних задач. Також можна створити власну консоль та налаштувати її відповідно до задач адміністрування.
Перш ніж створювати нову консоль, необхідно визначити дії, для яких призначена нова консоль, список компонентів для адміністрування, список оснащень і інших елементів, які будуть потрібні для виконання завдань. Після прийняття цих рішень можна відкрити нову консоль і почати додавати елементи.
Порядок створення нової консолі:
Пуск – Виконати – mmc.
В меню “Консоль” вибрати “Додати/видалити оснащення” – “Додати” та вибрати потрібне оснащення зі списку.
Наприклад можна вибрати “Аналіз та настройка безпеки” чи “Дефрагментація диска”.
Результатом цих дій буде поява відповідних інструментів в робочому вікні MMC. Вибрані оснащення нічим не відрізняються від тих які ми запускаємо ізольовано.
Особливість полягає в тому, що тепер для різних інструментів у нас є уніфіковане середовище управління.
І найголовніше, ми можемо зберегти отриману консоль з метою використання надалі та налаштовувати оснащення для управління іншими комп'ютерами мережі.
7.1. Створення консолі управління комп'ютером.
Після вибору потрібних оснащень на попередньому кроці, консоль може виглядати наступним чином.
У прикладі відкрито оснащення “Дефрагментація диску” та виконано команду Аналіз диску.
Після створення потрібно задати режим консолі (Консоль – Параметри… - Вибрати режим: авторський чи користувацький.
Зберігаємо Консоль: Консоль – Зберегти як – Задати назву консолі.
8. Політика безпеки.
Політика безпеки - це набір параметрів, які регулюють безпеку комп'ютера і налаштовуються за допомогою локального об'єкта GPO (Group Policy Object).
Політика безпеки включає налаштування багатьох параметрів системи, котрі для зручності групують у Області безпеки. У таблиці наведено опис основних областей безпеки системи Windows:
Область безпеки
Опис
Політики облікових записів
Політика паролів, політика блокування облікового запису і політика Kerberos
Локальні політики
Політика аудиту, призначення прав користувача і параметри безпеки
Журнал подій
Параметри журналів подій програм, системних подій і подій безпеки
Групи з обмеженим доступом
Склад груп з особливими вимогами до безпеки
Файлова система
Дозволи для файлів і папок
Системні служби
Параметри запуску і дозволи для системних служб
Реєстр
Дозволи для розділів реєстру
8.1. Політика безпеки.
Налаштування параметрів цих політик здійснюється за допомогою
оснащення “Локальна політика безпеки” (використовується для зміни політики облікових записів та локальної політики на локальному комп'ютері, є у вкладці “Адміністрування” в Панелі управління),
оснащення “Редактор локальної групової політики” (використовується для зміни політики облікових записів, прив'язаних до домену Active Directory).
Active Directory – це своєрідна база, що складається з об'єктів: ресурсів, служб та облікових записів користувачів та комп'ютерів. Active Directory надає інформацію про об'єкти, дозволяє організовувати об'єкти, керувати доступом до них, а також встановлює правила безпеки.
Для задання параметрів безпеки в локальній політиці можуть використовуватись Шаблони безпеки.
!!! Зміну параметрів політики безпеки може здійснювати тільки користувач з правами адміністратора
9. Складові політики безпеки.
Розглянемо детальніше деякі області безпеки та відповідні їм параметри.
Розпочнемо з Політики облікових записів.
“Політика облікових записів” складається з наступних компонентів:
Політика паролів
Передбачає налаштування таких параметрів, як строк дії паролів, вимоги до складності паролів та наявність використання зворотнього шифрування паролів. Ці параметри потрібні для того, щоб по-перше, у зловмисника не вистачило часу на підбір паролю заданої складності за заданий максимальний строк дії, а по-друге, навіть у разі одержання паролю, зловмисник не зможе ним довго користуватись.
Політика блокування облікового запису
Визначається кількість спроб невдалого входу в систему, після яких обліковий запис блокується, а також час на розблокування після невдалої спроби.
Політика Kerberos
Визначаються настройки протоколу Kerberos для аутентифікації користувачів
9.1. Складові політики безпеки.
Наступною є компонента “Локальні політики”, що визначає основні права користувачів та способи контролю за їх діяльністю.
“Локальні політики” складається з наступних компонентів:
Політика аудиту
Призначена для фіксації подій в системі з метою їх подальшого аналізу на наявність спроб проникнення в систему.
Призначення прав користувачу
Містить список дій, можливих у системі. Для кожної дії можна призначити користувача, чи групу, котрі можуть виконувати цю дію в системі.
Засоби безпеки
Визначаються настройки облікових записів аудиту, мережеві налаштування, параметри використання шифрування, а також права на доступ до обладнання та вхід у систему.
9.1. Складові політики безпеки.
Далі ідуть компоненти, котрі не містять вкладених компонент, а саме:
Компонента “Журнал подій” містить настройки параметрів журналів, зокрема, максимальний розмір, параметри збереження журналів та права доступу до них.
Компонента “Групи з обмеженим доступом” дозволяє утворювати ієрархію груп користувачів з специфічними параметрами доступу, шляхом додавання нових користувачів в групи та додаванні групи у іншу групу.
Користувачі з специфічними параметрами доступу не мають прав адміністратора, однак мусять мати доступ до виконання окремих задач налаштування системи.
Компонента “Служби” відповідає за централізоване управління службами клієнтських комп'ютерів. Для підвищення продуктивності комп'ютерів можна визначити служби, які будуть запущені автоматично, які потрібно запускати вручну, а також служби, які примусово будуть зупинені.
Компонента “Реєстр” дозволяє визначити дозволи на доступ до окремих гілок реєстру, а також параметри аудиту цих гілок.
Компонента “Файлова система” аналогічно попередньому компоненту дозволяє визначити дозволи на доступ та параметри аудиту для окремих файлів та папок.
Висновки:
1. Моніторинг – це процес систематичного збору та аналізу інформації щодо значень діагностичних параметрів стану комп'ютера.
2. Виділяють наступні складові моніторингу: моніторинг продуктивності, моніторинг завантаженості системи, моніторинг завантаженості мережі, моніторинг віддалених підключень.
3. Консоль управління (Microsoft Management Console, MMC) - компонент операційних систем сімейства Windows, котрий дозволяє за допомогою гнучкого інтерфейсу конфігурувати та відстежувати роботу системи.
Консоль управління є основним стандартним засобом адміністрування Windows.
4. Політика безпеки - це набір параметрів, які регулюють безпеку комп'ютера і налаштовуються за допомогою локального об'єкта GPO (Group Policy Object).
5. Політика безпеки включає наступні компоненти: «Політики облікових записів», «Локальні політики», «Журнал подій», «Групи з обмеженим доступом», «Файлова система», «Системні служби», «Реєстр».
Література:
Таненбаум. Э. Современные операционные системы.2-е изд. – СПб.: Питер, 2002. – 1040 с.
Гордеев А. В. Операционные системы. – 2007. – 417 с.
Карпов В. Е., Коньков К. А., Иванникова В. П. Основы операционных систем. – 2005. – 536 с.
www.oszone.net