Аудит и мониторинг Windows

Размещено на http://www.allbest.ru/

Аудит и мониторинг Windows

Аудит - одно из средств защиты сети Windows, с помощью которого можно отслеживать действия пользователей и другие системные события в сети.

Фиксируются следующие параметры:

выполненное действие;

имя пользователя, выполнившего действие;

дата и время выполнения действия.

Реализация аудита

Аудит реализуют на том компьютере, события которого собираются отслеживать. Скажем, для аудита событий, происходящих на главном контроллере домена (например, попыток пользователей зарегистрироваться в сети или изменить учетные записи пользователей), необходимо реализовать аудит на главном контроллере домена.

Для отслеживания событий на любом другом компьютере домена (например, доступа к файлу на сервере) необходимо настроить аудит на этом компьютере.

События заносятся в локальный журнал безопасности компьютера, но пользователь, имеющий административные полномочия на этом компьютере, может просмотреть журнал с любого компьютера.

Аудит производится в два этапа

Определение стратегии путем выбора событий, подлежащих аудиту, в программе User Manager for Domains. На компьютерах под управлением Windows NT Workstation или на серверах используйте программу User Manager (Диспетчер пользователей).

Выбор файлов, папок и принтеров, для которых необходим аудит, а также пользователей и групп, действия которых Вы хотите отслеживать. Для установки аудита папок и файлов пользуйтесь программой Windows NT Explorer (Проводник) ; аудит принтеров устанавливается в окне Printers (Принтеры).

Политика аудита системы

Настройка политик аудита - важный фактор обеспечения безопасности и целостности системы. Каждая компьютерная система в сети должна быть настроена для протоколирования определенных событий, относящихся к системе безопасности. Политики аудита определяют, какие именно события в области безопасности системы должны регистрироваться в журнале «Безопасность».

Процесс аудита безопасности настраивается с помощью групповых политик. Параметры аудита безопасности находятся в разделе «Параметры безопасности - Локальные политики - Политики аудита» любого объекта групповых политик.

На рисунке изображены стандартные политики аудита для организационного подразделения «Контроллеры домена».

Рассмотрим параметры этого раздела

Аудит входа в систему регистрирует события, связанные с регистрацией пользователя на данном компьютере, окончанием сеанса работы и удаленными соединениями с сетевыми системами;

Аудит доступа к объектам регистрирует попытки доступа пользователей к различным объектам - файлам, папкам, принтерам и объектам Active Directory;

Аудит доступа к службе каталогов регистрирует доступ к Active Directory;

Аудит изменения политики регистрирует изменения разрешений доступа пользователей, аудита и доверительных отношений;

Аудит использования привилегий регистрирует применение разрешений доступа и привилегий пользователя (например, использование прав резервного копирования файлов и каталогов) ;

Аудит отслеживания процессов регистрирует системные процессы и ресурсы, используемые процессами;

Аудит системных событий регистрирует запуск, выключение и перезагрузку системы, а также действия, влияющие на безопасность системы или на журнал безопасности;

Аудит событий входа в систему регистрирует события, связанные с регистрацией пользователя в домене;

Аудит управления учетными записями регистрирует управление учетными записями посредством консоли «Active Directory - пользователи и компьютеры» (события генерируются каждый раз, когда учетные записи пользователя, компьютера или группы создаются, изменяются или удаляются).

Аудит доступа к объектам

Рассмотрим подробнее аудит доступа к объектам. Необходимость регистрации событий доступа к объектам возникает, когда есть подозрения, что кто-то из пользователей пытается получить несанкционированный доступ к информации, к которой он не должен иметь доступа.

По умолчанию на обычном сервере или рабочей станции политики аудита доступа к объектам отключены. Включим данные политики (на уровне сайта, домена или нужного нам ОП) - откроем данный параметр в редакторе политик и установим регистрацию как успешных, так и неуспешных попыток доступа к объектам (рис. 1)

После применения политик настроим аудит доступа для нужных объектов (например, для папки Folder1 на сервере DC1) - откроем Свойства данной папки (папка должна быть размещена на разделе с файловой системой NTFS), перейдем на закладку «Безопасность», нажмем кнопку «Дополнительно» и перейдем на закладку «Аудит». Добавим в список пользователей, для которых будут отслеживаться попытки доступа к папке Folder1, группу «Пользователи домена» и установим, какие именно попытки будут регистрироваться в журнале «Безопасность» (например, попытки удаления папок и файлов, успешные и неуспешные) (рис. 2)

Теперь для проверки работы механизма аудита удалим какой-нибудь файл в этой папке, а затем просмотрим соответствующие события, появившиеся в журнале «Безопасность». Пример события, зарегистрировавшего в журнале безопасности удаление файла «Документ. doc», показан на рисунках.

На первом рисунке видно, что пользователь Администратор получил успешный доступ к файлу «H: \Folder1\Документ. doc» на компьютере DC1, а на втором показан вид доступа - DELETE (Удаление).

Не рекомендуется злоупотреблять применением политик аудита доступа к объектам и регистрацией доступа к большому числу объектов, т. к. системой генерируется очень большое число записей, отыскать среди которых нужные будет весьма непросто. К тому же надо будет постоянно заботиться о сохранении старых записей и очистке журнала. Наиболее рациональный способ применения аудита доступа к объектам - настройка данного аудита в те моменты, когда есть обоснованные опасения о наличии в сети попыток несанкционированного доступа.

Аудит принтера

Аудит принтера аналогичен аудиту папок и файлов. Сначала Вы выбираете стратегию аудита, а затем указываете, какие связанные с принтером события нужно регистрировать, а также группы и пользователей, действия которых над принтером Вы хотите отслеживать.

В приведенной ниже таблице перечислены относящиеся к принтеру события, аудит которых возможен.

Событие	Что позволяет отслеживать
Print (Печать)	Использование принтера. Это полезно для оценки затрат на печать каждого подразделения в отдельности
Full Control (Полный доступ)	Изменение параметров задания на печать; приостановку, перезапуск, перемещение и удаление документов; предоставление принтера в совместное использование; изменение свойств принтера. Это полезно в сетях с высокими требованиями к безопасности
Delete (Удаление)	Удаление заданий на печать. Это полезно в сетях с высокими требованиями к безопасности
Change Permissions (Смена разрешений)	Изменения в правах доступа к принтеру. Это полезно в сетях со средними и высокими требованиями к безопасности
Take Ownership (Смена владельца)	Смену владельца принтера. Это полезно в сетях со средними и высокими требованиями к безопасности

Списки контроля доступа

Для управления группами (добавления и удаления пользователей и разрешений) администраторы применяют списки контроля доступа (ACL).

В Windows XP Professional имеется два вида ACL.

Discretionary access control lists (DACL) - списки разграничительного контроля доступа. Используются для идентификации пользователей и групп, которым разрешен (или запрещен) доступ.

System access control lists (SACL) - системные списки контроля доступа, контролируют проверку доступа.

Списки контроля доступа являются удобным инструментом определения того, кто имеет доступ к конкретному объекту, и предоставляют возможность редактировать разрешения. Например, если вы считаете, что новый лазерный принтер не должен использоваться никем, кроме работников отделения маркетинга, то для приведения в действие этих ограничений можно использовать ACL.

Подробнее о SACL

SACL - это традиционный механизм логирования событий, который определяет, как проверяется доступ к файлам и папкам. В отличие от DACL, SACL не может ограничивать доступ к файлам и папкам. Но он может отследить событие, которое будет записано в журнал событий безопасности (security event log), когда пользователь обратится к файлу или папке. Это отслеживание может быть полезно при решении проблем доступа или при определении запрещенного проникновения.

Для специалистов в сфере безопасности, SACL важнейший инструмент для определения проникновения. Системные администраторы больше используют SACL для определения прав, которые необходимо дать пользователю, для корректной работы приложения. Разработчики используют SACL для определения ресурсов, к которым доступ приложения запрещен, для настройки корректности работы приложения, при ограниченных правах доступа.

Мониторинг

Мониторинг - процесс систематического или непрерывного сбора и анализа информации о значении диагностических параметров состояния компьютера. Существует много видов мониторинга, мы остановимся на нескольких.

Мониторинг производительности

Мы рассмотрим два основных инструмента мониторинга производительности систем Windows - программу «Диспетчер задач», которая предназначена для мониторинга работы приложений и служб сервера в реальном времени, и консоль «Производительность», которая может осуществлять мониторинг производительности как в реальном времени, так и путем накопления статистики о работе системы за определенный период времени, причем консоль «Производительность» может показывать и собирать данные одновременно с нескольких систем.

Диспетчер задач

Чтобы открыть «Диспетчер задач», основной инструмент мониторинга и управления системными процессами и приложениями, нужно выполнить одно из перечисленных действий:

нажать комбинацию клавиш CTRL+SHIFT+ESC;

нажать комбинацию клавиш CTRL+ALT+DELETE и нажать кнопку «Диспетчер задач»;

нажать кнопку «Пуск», выбрать пункт меню «Выполнить», ввести taskmgr и нажать кнопку «ОК»;

щелкнуть правой кнопкой мыши на панели задач и выбрать в контекстном меню команду «Диспетчер задач».

Управление приложениями

На закладке «Приложения» показан статус программ, работающих в данный момент в системе:

При щелчке правой кнопкой мыши на строке приложения или группы приложений в списке отображается контекстное меню, позволяющее:

переходить к приложению и делать его активным;

переводить приложение на передний план;

сворачивать и восстанавливать приложение;

изменять расположение окон приложений;

закрывать приложение;

выделять на вкладке «Процессы» процесс, связанный с этим приложением.

Управление процессами

Подробная информация о выполняемых процессах отображается на закладке «Процессы»:

Остановить главный процесс приложения и порожденные им вторичные процессы можно несколькими способами:

выделить приложение на закладке «Приложения» и щелкнуть кнопку «Снять задачу»;

на закладке «Процессы» щелкнуть правой кнопкой мыши главный процесс приложения и выбрать команду «Завершить процесс»;

на закладке «Процессы» щелкнуть правой кнопкой мыши главный или вторичный процесс приложения и выбрать команду «Завершить дерево процессов».

Мониторинг загруженности системы

На закладке «Быстродействие» в виде графиков и статистических данных отображается степень использования процессора и памяти.

Эта информация позволяет быстро оценить нагрузку на системные ресурсы.

На графиках закладки «Быстродействие» отображена следующая информация:

Загрузка ЦП - процент используемых в данный момент ресурсов процессора;

Хронология загрузки ЦП - трафик изменения нагрузки на процессор;

Файл подкачки - объем файла подкачки (т. е. виртуальной памяти), занятый системой в настоящий момент;

Хронология использования файла подкачки - график использования файла подкачки.

Мониторинг производительности сети

На закладке «Сеть» приводятся сведения о сетевых адаптерах, используемых системой, - процент загрузки, скорость соединения и статус. Если в системе установлен единственный сетевой адаптер, на сводной диаграмме показана информация об изменении со временем трафика через этот адаптер:

В полях закладки «Сеть» содержится множество сведений о входящем и исходящем сетевом трафике сервера. С их помощью можно, например, установить объем поступающих на сервер данных. По умолчанию отображаются следующие поля:

Адаптер - имя, под которым адаптер значится в папке Сетевые подключения;

Использование сети - загрузка сети в процентах от исходной скорости подключения для данного интерфейса (например, адаптер с исходной скоростью подключения 100 Мбит/с и текущим трафиком 10 Мбит/с загружен на 10%) ;

Скорость линии - скорость подключения через данный интерфейс;

Состояние - состояние сетевого адаптера.

Программа Process Explorer

Process Explorer - бесплатная программа для Microsoft Windows, созданная Sysinternals, и затем приобретённая Microsoft Corporation.

Process Explorer - приложение для мониторинга процессов в системе. Используя эту программу можно не только отследить какой-либо процесс, но и уточнить такие данные, как используемые этим процессом файлы и папки.

Возможности process explorer

Иерархическое отображение процессов.

Возможность идентификации системных процессов (например, является ли процесс svchost. exe системным или «левым»)

Отображает иконку и компанию производителя каждого процесса.

Изменяемый диапазон измерений загрузки CPU и графические индикаторы.

Возможность «заморозить» любой процесс.

Возможность управления (запуск, пауза, остановка) потоками (нитями) процесса.

Возможность вывести окно, принадлежащее тому или иному процессу поверх остальных.

Возможность закрытия древа процессов.

Возможность в реальном режиме времени менять приоритет и то, на каком ядре процессора будет выполняться тот или иной процесс.

Возможность проверки сертификата файла процесса.

Возможность заменять системный диспетчер задач по тем же горячим клавишам.

Выводимая Process Explorer информация значительно подробнее, чем у Диспетчера задач Windows. В числе наиболее интересных возможностей приложения - возможность быстро уточнить какому процессу принадлежит окно на рабочем столе.

Рабочая область программы Process Explorer состоит из двух окон. В верхнем окне отображается список активных процессов, включая имена учетных записей, которым принадлежат эти процессы. Информация, которая отображается в нижнем окне, зависит от выбранного режима работы программы. В режиме дескрипторов в нижнем окне отображаются все открытые дескрипторы выбранного в верхнем окне процесса, а в режиме библиотек DLL - все загруженные процессом динамические библиотеки и отображенные в память файлы. Помимо этого в программе Process Explorer также есть мощные возможности поиска, благодаря которым можно быстро узнать, у какого процесса открыт определенный дескриптор или загружена определенная библиотека DLL.

Благодаря своим уникальным возможностям, программа Process Explorer полезна для разрешения проблем с версиями библиотек DLL и утечками дескрипторов, а также для понимания принципов работы ОС Windows и приложений.

Для любого процесса можно изменить его приоритет, завершить его выполнение или завершить выполнение процесса и его дерева. Полезная особенность Process Explorer заключается в том, что работу любого процесса можно приостановить (suspend), а потом возобновить (resume). Приостановка работы процесса может временно освободить занятые им ресурсы (процессор, сеть, жёсткий диск) для использования другими приложениями. Приостановив выполнение процесса можно определить, например, какой процесс открывает окна или проявляет повышенную сетевую активность. Это бывает необходимо сделать при подозрении на заражение компьютера вирусом или для пресечения работы рекламного программного обеспечения, которое устанавливается на компьютер без ведома пользователя.

Помимо прочего, при помощи Process Explorer можно выгрузить в текстовый файл список всех процессов с описаниями и объёмом занятой каждым из них памяти, запустить любое приложение, выключить, перезагрузить или заблокировать компьютер, найти используемые библиотеки и хэндлы, включить подсветку цветом определённых процессов и так далее. Всё это помогает контролировать работающие процессы и получать исчерпывающую информацию об использовании системных ресурсов.

Мониторинг удаленных подключений

Удаленные пользователи подключаются к системе через службы терминалов, или удаленные рабочие столы. Подключения с помощью удаленного рабочего стола активизируются автоматически при установке Windows Server 2003. «Диспетчер задач» предоставляет один из способов управления такими подключениями. Перейдите на закладку «Пользователи», где перечислены пользовательские сеансы как для локальных, так и для удаленных пользователей:

Для каждого подключения указаны: имя пользователя, код сеанса, состояние, клиентский компьютер и тип сеанса. Пользователю, зарегистрировавшемуся локально, соответствует тип сеанса «Консоль» (Console). Для других пользователей в этом столбце указаны тли и протокол подключения, например, RDP-Tcp для подключения с помощью протокола RDP (Remote Desktop Protocol) и транспортного протокола TCP. Щелкнув сеанс правой кнопкой мыши, получаем доступ к следующим командам:

Подключить - подключение неактивного сеанса;

Отключить - отключение пользовательского сеанса, с сохранением в сеансе всех запущенных пользователем приложений;

Выход из системы - принудительное завершение пользовательского сеанса;

Удаленное управление - переход к удаленному управлению пользовательским сеансом из сеанса администратора (совместная работа в сеансе) ;

Отправить сообщение - отправка сообщения пользователям, зарегистрировавшимся на сервере терминалов.

Microsoft Management Console

Microsoft Management Console (консоль управления) - компонент операционной системы Windows 2000 и более поздних версий Windows. Позволяет системным администраторам и продвинутым пользователям с помощью гибкого интерфейса конфигурировать и отслеживать работу системы. Консоль управления предоставляет более широкие возможности для управления компьютером. Основной принцип действия заключается в оснастках - небольшие подпрограммы, позволяющие настроить разные аспекты операционной системы.

MMC является основный стандартный средством аудита и мониторинга Windows.

В ММС существует два типа оснасток:

Изолированная оснастка (standalone snap-in) обеспечивает выполнение своих функций даже при отсутствии других оснасток, например, Computer Management (Управление компьютером).

Оснастка-расширение (extension snap-in) может работать только после активизации родительской оснастки. Задача оснастки-расширения заключается в увеличении числа функций, поддерживаемых родительской оснасткой. Оснастка-расширение является подчиненным элементом определенных оснасток, и при каждом запуске этих оснасток консоль ММС автоматически запускает все связанные с ними расширения.

Оснастка “Управление компьютером”

Данная оснастка содержит в себе множество консолей, позволяющих производить мониторинг, и более тонко настраивать компьютер.

Консоль «Просмотр событий»

Одно из самых часто используемых и наиболее важных средств мониторинга системы - это регистрация различных событий в журналах операционной системы Windows. Регистрацию событий в системе Windows осуществляет служба «Журнал событий» (Event Log). В любой системе семейства Windows всегда присутствуют 3 журнала:

журнал «Система» (System) - события, записанные в журнал компонентами операционной системы (например, сбой в запуске службы при перезагрузке) ;

журнал «Безопасность» (Security) - регистрация событий, относящихся к системе безопасности (например, попытки регистрации пользователей, изменения в политиках безопасности, попытки доступа к различным ресурсам) ; набор событий, регистрируемых в журнале «Безопасность», настраивается локальной или групповых политик;

журнал «Приложение» (Application) - события, порожденные различными приложениями (например, сбой MS SQL при доступе к базе данных) ; набор событий, регистрируемых в журнале «Приложения», определяется разработчиками приложений;

При установке в системе каких-либо компонент могут появиться журналы, регистрирующие события, относящиеся к работе данных компонент.

При установке службы DNS появляется журнал «DNS-сервер» (DNS Server), регистрирующий события, связанные с работой службы DNS.

При создании контроллера домена в системе появляются журналы:

журнал «Служба каталогов» (Directory Service) - события, порожденные службой каталогов Active Directory;

журнал «Служба репликации файлов» (File Replication Service) - события, связанные с репликацией файлов (в первую очередь файлы в папке SYSVOL и файлы в сетевых папках, управляемых рапределенной файловой системой DFS) ;

В левой части консоли будет список имеющихся на данном компьютере журналов, в правой части - список событий для выбранного журнала.

В большинстве журналов события бывают трех видов:

Уведомление - информация о событии, связанным с успешным действием (например, успешный запуск или останов службы, успешное завершение операции какой-либо службы) ;

Предупреждение - информация о событиях, которые в будущем могут вызвать проблемы в работе системы;

Ошибка - сообщение об ошибке (например, сбой при запуске службы).

В журнале «Безопасность» - 2 типа событий:

Аудит успехов - событие, связанное с успешным выполнением действия, связанного с системой безопасности (например, успешный вход в систему или успешный доступ к сетевому ресурсу) ;

Аудит отказов - событие, связанное со сбоем в выполнении действия, связанного с системой безопасности (например, отказ в аутентификации пользователя при входе в систему по причине ввода неверного пароля, блокировка учетной записи после нескольких неудачных попыток входа в систему, отказ в доступе к сетевому ресурсу).

Если открыть какое-либо событие, то можно получить более детальную информацию о нем:

Описание - текстовое описание события;

Данные - любые данные, сгенерированные событием, или связанный с ним код ошибки.

Оснастка «Общие папки»

Раздел «Общие папки» позволяет просматривать, создавать, удалять и менять свойства общих сетевых ресурсов (сетевых папок), раздел «Сеансы» позволяет просматривать список пользователей, подключенных к определенному ресурсу, раздел «Открытые файлы» позволяет просматривать список файлов данного сервера, открытых удаленными пользователями;

Просмотреть полный список ресурсов, предоставляемых данным сервером для совместного использования, можно в оснастке «Общие папки», в разделе «Общие ресурсы»:

Просмотреть кто из пользователей и какие именно файлы и папки использует в настоящий момент можно в «Общие папки», в разделе «Открытые файлы»:

Просмотреть список пользователей, подключенных к определенному ресурсу, можно в «Общие папки», в разделе «Сеансы»:

Консоль «Производительность»

Консоль «Производительность» позволяет более детально исследовать функционирование системы по сравнению с «Диспетчером задач». И, кроме того, данная консоль позволяет накапливать статистику о работе системы в фоновом режиме, без непосредственного наблюдения администратором системы, а также собирать данные о производительности с нескольких компьютеров одновременно. Данная консоль содержит два раздела - «Системный монитор» и «Журналы и оповещения производительности». «Системный монитор» предназначен для наблюдения за системой (или системами в режиме реального времени), «Журналы и оповещения производительности». используются для накопления статистики в фоновом режиме и последующего изучения накопленных данных.

Работа консоли «Производительность» основана на понятиях «Объект» и «Счетчик». Понятие «Объект» относится к той или иной компоненте системы или к определенному приложению и состоит из набора «Счетчиков», числовых показателей, измеряющих степень загруженности данной компоненты. Набор доступных объектов и счетчиков обновляется при установке служб и дополнительных компонент. Например, после установки на сервере службы DNS консоль «Производительность» пополняется рядом объектов и счетчиков для отслеживания работы этой службы.

Системный монитор

Если открыть консоль «Производительность», то мы сразу попадем в раздел «Системного монитора». При этом на экране отображаются 3 самых важных с точки зрения операционной системы счетчика: «Обмен страниц в сек» (объекта «Память»), «Средняя длина очереди диска» (объекта «Физический диск») и «% загруженности процессора» (объекта «Процессор»). Обновление данных на экране производится раз в секунду.

Для выбранного мышью активного процесса регистрируются показатели:

Последний - последнее полученное значение счетчика;

Средний - среднее из всех полученный значений счетчика;

Минимум - минимальное значение счетчика за период наблюдений;

Максимум - максимальное значение счетчика за период наблюдений.

Системный монитор Windows 7

Системный монитор в Windows 7 был расширен и появился новый функционал.

System Diagnostics (Диагностика системы)

System Diagnostics (Диагностика системы) создает подробный отчет о состоянии локальных ресурсов оборудования, времени отклика системы и процессах локального компьютера, содержащий также системные и конфигурационные данные. Этот отчет содержит рекомендации по повышению производительности и ускорению системных операций.

System Performance (Производительность системы)

С помощью группы System Performance (Производительность системы) создается отчет о состоянии локальных ресурсов оборудования, времени ответа системы, а также процессах на локальном компьютере. Эти сведения можно использовать для выявления возможных причин проблем с производительностью.

Создание группы сборщиков данных

Чтобы настроить процесс диагностики более тонко, и получить более конкретные отчеты, предусмотрена возможность создания собственных групп сборщиков данных.

Журналы и оповещения производительности

Раздел «Журналы и оповещения производительности» в свою очередь состоит из трех частей:

«Журналы счетчиков» - выполняют ту же задачу, что и «Системный монитор», но делают это в фоновом режиме и накапливают данные в файле журнале на жестком диске или в базе данных (это наиболее часто используемый раздел журналов производительности) ;

«Журналы трассировки» - отслеживание запуска и работы приложений (универсальный системный отладчик, позволяет определить некоторые ошибки в функционировании тех или иных приложений и системных задач) ;

«Оповещения» - отслеживание значений счетчиков, но не для накопления в журнале, а для отправки оповещения назначенным для этой задачи пользователям (по электронной почте, с помощью системной компоненты «Оповещатель» (Messenger), и др.).

Мониторинг сетевой активности

Системы семейства Windows Server позволяют осуществлять мониторинг сетевой активности на низком уровне - на уровне сетевых фреймов, передаваемых и принимаемых сетевыми адаптерами компьютера. Для выполнения этой задачи служит компонента системы «Сетевой монитор» (Network Monitor). Правда, штатная компонента «Сетевой монитор» имеет ограничение - она захватывает только те сетевые пакеты, которые передаются данному компьютеру (на котором запущен «Сетевой монитор») или отправляются с данного компьютера, в том числе широковещательные пакеты. «Сетевой монитор» - мощный инструмент для обнаружения различных сетевых проблем и неполадок, позволяющий детально изучать содержимое передаваемых по сети пакетов.

Все данные, пересылаемые по сети от одного сетевого адаптера другому, состоят из фреймов (кадров). Каждый фрейм содержит следующую информацию:

Адрес источника (отправителя) - MAC-адрес сетевого адаптера, с которого отправлен кадр;

Адрес назначения (получателя) - MAC-адрес сетевого адаптера, которому предназначался кадр (этот адрес может также определять группу сетевых адаптеров) ;

Данные заголовка - информация, содержащая описание для каждого протокола, используемого при передаче кадра;

Данные - передаваемые данные (или часть данных).

В обычном состоянии каждый сетевой адаптер принимает только те фреймы, которые адресованы данному адаптеру (или всем сетевым адаптерам при отправке широковещательных пакетов). Все остальные фреймы сетевыми адаптерами игнорируются. Все захватываемые в процессе работы «Сетевого монитора» фреймы сохраняются в буфере захвата (по умолчанию размер буфера 1 МБ, поэтому «Сетевой монитор» хранит только последний мегабайт захваченных фреймов). Захваченные фреймы после окончания процесса захвата и изучения можно сохранить в файле с расширением «. cap» для последующего более детального изучения.

Другие виды мониторинга

Кроме стандартных утилит от производителя ОС существует ещё множество программ, помогающих производить мониторинг как системы, так и “железа” компьютера

Мониторинг Linux

В linux-e нет встроенного софта для мониторинга системы. Дистрибутивы же общего назначения всегда содержат массу программ для мониторинга состояния системы, самой известной и устанавливаемой по умолчанию из которых является top. Данная программа позволяет осуществлять мониторинг загрузки CPU и оперативной/виртуальной памяти. Следуя известному принципу, „каждая программа должна выполнять свою небольшую задачу, и выполнять её хорошо“, отдельные консольные команды (vmstat, iostat, free, uptime, top, sensors и т. д.) и формируют комплекс мониторинга системы, делая абсолютно излишним применение „спецсофта, аналогичного виндовому“«.

top

Vmstat

GKrellM

GKrellM - программа мониторинга за системными ресурсами, сетью, дисками, температурой компонентов системы, состояния батарей ИБП (источников бесперебойного питания), батарей ноутбуков и прочего и прочего. Имеет много различных скинов и плагинов для расширения мониторинга системы. Главное достоинство GKrellM - простота и удобство. Еще одна не маловажная особенность - это умение GKrellM работать в режиме “удаленного мониторинга”, в котором на удаленном компьютере можно следить за потреблением ресурсов на своем компьютере через интерфейс GKrellM.

Blue Screen Of Death (DSOD)

Синий экран смерти (англ. Blue Screen of Death, Blue Screen of Doom, BSoD) - название сообщения о критической системной ошибке в операционных системах Microsoft Windows.

Что может вызывать ошибки BSOD?

Отказ компьютера - это на самом деле защитный «маневр», позволяющий остановить неверно функционирующий процесс, чтобы он не нанес более серьезных повреждений после того, как начал неверно действовать. Обычно это происходит, когда процесс делает что-то (ошибка типа illegal action), не предусмотренное его функциями. К примерам такого рода можно отнести попытку записи данных на страницу памяти, доступную только по чтению, или попытку чтения данных из неотображаемого адреса памяти.

В большинстве случаев опасный код является частью драйвера какого-либо устройства. Именно поэтому компания Microsoft перешла к принципу сертификации и защиты драйверов устройств. Но иногда это не является ошибкой программиста; например, код обращается к памяти должным и допустимым образом, но повреждена сама память.

Независимо от причины существует вероятность, что работа системы нарушена по «принципу домино», когда одни проблемы вызывают другие проблемы, приводящие к повреждению частей системы, которые непосредственно не затрагивались исходной проблемой. Чтобы эта возможность не становилась реальностью, операционная система останавливается, выводя сообщение STOP.

Дамп памяти

Дамп памяти - содержимое рабочей памяти одного процесса, ядра или всей операционной системы.

Задание типа файла дампа

Одним из важных решений является выбор типа дампа памяти, который нужно выдавать при ошибке BSOD. Ядро выводит дамп содержимого системной памяти в файл, указанный в диалоговом окне Startup and Recovery (по умолчанию файл% SystemRoot% \memory. dmp), и вы можете выбрать тип и количество информации, которая будет записана. Варианты выбора:

Complete Memory Dump (Полный дамп памяти - как в Windows NT).

Kernel Memory Dump (Дамп памяти ядра).

Small Memory Dump (Малый дамп памяти).

Остановимся подробнее на Small Memory Dump.

Малый дамп памяти (его называют также мини-дампом) ограничивается размером 64 Кб, то есть в него записывается намного меньше информации, чем при двух других вариантах дампа. Однако данные, записываемые в этот файл дампа, могут с большой вероятностью раскрыть причину проблемы (это по сути та же информации, которая выводится системой на экран). В информацию этого дампа включается код и ошибка BSOD, список текущих загруженных драйверов и информация о процессе и потоке, которые исполнялись на момент отказа, а также информация о недавно использовавшихся функциях. Для этого варианта требуется файл подкачки не менее 2 Мб.

Файлы малых дампов памяти не перезаписываются поверх предыдущих файлов дампа. Эти файлы находятся в папке% SystemRoot% \minidump и имеют имена minimm-dd-yy-nn. dmp (nn - номер дампа при повторении даты, если у вас возникло больше одной ошибки BSOD за день).

BlueScreenView

BlueScreenView - программа сканирующая все имеющиеся файлы аварийных дампов памяти и отображает сведения обо всех BSOD в сводной таблице. Для каждого BSOD отображаются: имя файла дампа, дата/время BSOD, базовые сведения, выводимые на экран во время сбоя (код ошибки и 4 параметра), также информация о драйвере/модуле, вызвавшем сбой. Для любого из BSOD можно посмотреть данные о загруженных драйверах в нижней панели окна программы. BlueScreenView помечает в списке те драйверы, которые были найдены в стеке минидампа, что позволяет легко найти драйвер, вызвавший сбой.

Пример выявление причины BSOD посредством BlueScreenView

аудит мониторинг windows

Описание проблемы - компьютер постоянно зависал в играх. Запускаем BlueScreenViev и смотрим на нижнюю панель, точнее на те её строки, которые подсвечены красным.

Стала понятна причина зависания системы. Как видно по скрину, причиной оказался драйвер видеокарты, который как говорится «криво установился» в систему.

Решение проблемы - скачать свежие драйвера с сайта производителя. После их установки проблема исчезла.

Размещено на Allbest.ru