Monitorowanie procesów, usług i zdarzeń

    W momencie, kiedy uruchamiamy jakiś program na komputerze, Windows Serwer 2003 tworzy jeden lub kilka procesów koniecznych do obsługi tego programu. Uruchomione w ten sposób procesy noszą nazwę procesów interaktywnych, bowiem uruchomienie ich wynika z oddziaływania z użytkownikiem za pomocą klawiatury i myszy. Procesy, które nie są uruchamiane interaktywne działają w tle. Zazwyczaj dostają one niższy priorytet wykonywania. Głównym narzędziem umożliwiającym zarządzanie zadaniami i procesami w systemie Windows jest Menedżer zadań. Można go uruchomić wciskając jednocześnie kombinację klawiszy Ctrl+Alt+Del lub Ctrl+Shift+Esc, bądź klikając prawym klawiszem myszy na pasek zadań i wybierając Menedżer zadań.

    Zakładka Aplikacje Menedżera zadań wyświetla stan wszystkich aplikacji uruchomionych w systemie. Umożliwia ona zakończenie wybranej aplikacji, przełączenie się na wybraną aplikacje (w ten sposób aplikacja staje się aktywna) lub utworzenie nowego zadania. Klikamy prawym przyciskiem na dowolną aplikację i wybieramy z menu Przejdź do procesu. W ten sposób przeskoczyliśmy do zakładki Procesy a podświetlony proces odpowiedzialny jest za działanie wybranej aplikacji. W celu wyświetlenia procesów użytkowników zdalnych zaznaczamy pole Pokaż procesy wszystkich użytkowników. Pola w zakładce Procesy zawierają wiele informacji, które mogą służyć np. zlokalizowaniu procesu, który blokuje zasoby komputera (pochłania dużo pamięci, zajmuje dużo czasu procesora). Domyślne pola, jakie są widoczne to:

• Nazwa obrazu - nazwa procesu lub pliku wykonywalnego, który go uruchomił
• Nazwa użytkownika - nazwa użytkownika lub usługi systemowej, która uruchomiła dany proces
• CPU - chwilowe wykorzystanie procesora przez dany proces
• Użycie pamięci - rozmiar pamięci wykorzystywanej przez proces w danej chwili

Dodatkowo możemy wyświetlić szereg innych kolumn takich jak:

• Priorytet podstawowy - parametr ten określa jak wiele zasobów może być przydzielonych do danego procesu. W celu zmiany priorytetu klikamy prawym przyciskiem myszki na proces i z menu wybieramy Ustaw priorytet, po czym wybieramy priorytet, jaki chcemy nadać procesowi. Ustawienie zbyt wysokich priorytetów powoduje spowolnienie pracy systemu, co wynika z faktu, że większość czasu procesora przydzielana jest dla tego jednego procesu
• Czas procesora - pozwala określić łączny czas, przez jaki proces wykorzystywał procesor od momentu uruchomienia
• Liczba dojść - łączna wartość otwartych plików wykorzystywanych przez proces
• Odczyt We/WY, Zapis We/Wy - pola podają całkowitą liczbę operacji odczytu i zapisu przez proces od momentu jego uruchomienia
• Błędy stron - gdy proces odwołuje się do strony pamięci a system nie może odnaleźć jej we wskazanej lokalizacji wówczas występują błędy stron
• Pula stronicowana, Pula niestronicowana - pula stronicowana to obszar pamięci przydzielony dla obiektów, które mogą zostać zapisane na dysk gdy nie są wykorzystywane, natomiast pula niestronicowania to obszar pamięci dla tych obiektów, które nie mogą zostać zapisane na dysk
• Szczytowe użycie pamięci - jest to największa ilość pamięci używanej przez proces
• Liczba wątków - podaje aktualną liczbę wątków wykorzystywanych przez proces. Zaletą aplikacji wielowątkowych jest możliwość równoległego wykonywania różnych zadań

    Aby włączyć interesujące nas kolumny wybieramy z menu Widok a następnie Wybierz kolumny, po czym zaznaczamy te, które chcemy zobaczyć. Warto zwrócić uwagę na Proces bezczynności systemu. Ten wpis rejestruje zasoby, które nie są używane. Wartość 99 w kolumnie CPU oznacza, że 99% procesora jest w danym momencie niewykorzystywane. Nie można zmienić priorytetu tego procesu. Zakładka Wydajność przedstawia w sposób graficzny użycie procesora oraz pamięci operacyjnej. Zakładka Sieć wyświetla ogólne informacje o obciążeniu łącza sieciowego. Zielona linia prezentuje całkowitą wielkość ruchu sieciowego, co pozwala szybko określić stopień wykorzystania łącza oraz szybkość połączenia. Możemy oddzielić ruch przychodzący od wychodzącego. W tym celu wybieramy menu Widok następnie Historia karty sieciowej i zaznaczamy bajty wysłane (czerwone) i odebrane (żółte). Ostatnia zakładka to Użytkownicy, która przedstawia listę sesji interaktywnych zarówno dla użytkowników lokalnych jak i zdalnych. Lista ta obejmuje nazwę konta użytkownika, identyfikator sesji, stan aktualny, komputer klienta oraz typ sesji. Użytkownicy lokalni mają w tym polu wpisane Console. Użytkownicy zdalni mogą łączyć się z serwerem za pomocą usług terminalowych lub pulpitu zdalnego. Pulpit zdalny daje możliwość administrowania serwerem z tymi samymi możliwościami, co zalogowanie lokalne do konsoli. Mamy tu możliwość wylogowania zdalnego lub lokalnego użytkownika (zaznaczając użytkownika i wciskając przycisk Wyloguj) lub odłączenia sesji użytkownika, co skutkuje zamknięciem wszystkich jego procesów (przycisk Odłącz). Korzystając z przycisku Wyślij wiadomość możemy przesłać do wybranego użytkownika komunikat.
    Oprócz procesów systemowych w systemie Windows Serwer 2003 działają także usługi. Udostępniają one serwerom i stacjom roboczym podstawowe funkcje systemowe. Mamy do nich dostęp wybierając z menu Start, Narzędzia administracyjne i Zarządzanie komputerem. Teraz po lewej stronie rozwijamy gałąź Usługi i aplikacje i klikamy na wpis Usługi.

Wyświetlona lista zawiera następujące kolumny:

• Nazwa - nazwa usługi, wyświetlane są jedynie usługi zainstalowane w systemie,
• Opis - krótki opis jej przeznaczenia,
• Stan - opisuje czy usługa jest w danym momencie uruchomiona czy nie,
• Typ uruchomienia - widzimy czy usługa jest uruchamiana automatycznie przy starcie systemu, ręcznie, czy jest wyłączona,
• Logowanie jako - konto użytkownika wykorzystywane przez usługę do zalogowania w systemie. Najczęściej jest to konto System lokalny.

    Klikając dwukrotnie myszką na wybraną usługę, mamy możliwość skonfigurowania jej trybu uruchomienia. Tryb uruchomienia możemy ustawić na Automatyczny, czyli usługa jest uruchamiana przy starcie systemu, Ręczny wówczas usługa jest uruchamiana w momencie, kiedy zażąda tego inna usługa lub aplikacja oraz Wyłączony, co znaczy, że usługa nigdy nie jest uruchamiana. W każdym momencie możemy zatrzymać daną usługę lub wstrzymać jej działanie a następnie wznowić.

    Wyłączyć usługę może sam system operacyjny. System Windows Serwer 2003 wyłącza usługi powodujące konflikt z innymi, uruchomionymi wcześniej usługami. Jeśli nie powiedzie się ponowne uruchomienie usługi mającej typ uruchamiania Automatycznie, jej pole stanu jest puste. Może wówczas nastąpić powiadomienie o błędzie poprzez wyskakujące okna lub wpis w dzienniku zdarzeń. Wszystkie usługi korzystają z uprawnień właściwych dla danego konta lub użytkownika systemu. Możemy sami wybrać z prawami, jakiego użytkownika zostanie uruchomiona usługa. W tym celu przechodzimy do zakładki Logowanie i zaznaczamy pozycje To konto, po czym wpisujemy nazwę użytkownika oraz hasło. Możemy użyć przycisku Przeglądaj do określenia nazwy użytkownika. Należy pamiętać o odpowiednim skonfigurowaniu konta, dla którego będzie uruchomiona usługa. Konto to powinno mieć najostrzejsze ustawienia zabezpieczeń i otrzymać najmniejsze możliwe uprawnienia konieczne do wykonania usługi. Źle skonfigurowane konta mogą stać się poważnym problemem zabezpieczeń w systemie. Konta te powinny być traktowane tak samo jak konta administracyjne, co oznacza, że powinny posiadać bezpieczne hasła oraz przemyślane przydzielanie uprawnień i przywilejów. Większość usług nie potrzebuje np. prawa do lokalnego logowania.

    System Windows Serwer 2003 umożliwia podjęcie określonych działań w przypadku, kiedy usługa się nie uruchomi. W zakładce Odzyskiwanie mamy możliwość podjęcia odpowiedniej akcji w przypadku pierwszego błędu uruchamiania usługi, drugiego błędu oraz kolejnych. Przy każdej z tych pozycji możemy ustawić: Nie podejmuj żadnej akcji, Uruchom usługę ponownie, Uruchom program lub Uruchom ponownie komputer. Wybierając opcję Uruchom program, odsłoni nam się pole do podania ścieżki do programu. Możemy też skorzystać z przycisku Przeglądaj w celu zlokalizowania programu. Drugie pole służy do wpisania parametrów uruchamiania programu z wiersza poleceń. Dodatkowo możemy zaznaczyć opcję Dołącz liczbę błędów na końcu wiersza poleceń. W przypadku usług krytycznych dla systemu należy podjąć próbę ponownego uruchomienia usługi przy pierwszym i drugim błędzie oraz ponownego uruchomienia komputera przy kolejnych błędach. W przypadku ponownego uruchomienia usługi należy podać liczbę minut, po których nastąpi ponowna próba uruchomienia.
Kolejnym elementem, które daje informacje o systemie są dzienniki zdarzeń. Możemy je zobaczyć rozwijając podgrupę Podgląd zdarzeń z konsoli Zarządzanie komputerem.

Znajdują się tam następujące dzienniki:

• Dziennik aplikacji - rejestrujący zdarzenia dotyczące aplikacji np. błąd dostępu do bazy
• Usługa katalogowa - rejestruje zdarzenia związane z usługą Active Directory
• Serwer DNS - gromadzi zapytania DNS, odpowiedzi i inne rodzaje aktywności DNS
• Usługa replikacji plików -rejestruje operacje replikacji plików w systemie
• Zabezpieczenia - rejestruje informacje o zdarzeniach inspekcji zdefiniowane w lokalnych lub globalnych zasadach grupy
• System - są tu zdarzenia rejestrowane przez system operacyjny lub jego składniki (np. błędy uruchamiania usług)

    Gdy już wybierzemy dziennik, który nas interesuje po prawej stronie konsoli pojawią się wpisy dotyczące zdarzeń w postaci skróconej. Widzimy typ zdarzenia, jego źródło a także dokładny czas jego wystąpienia. Jeżeli chcemy więcej informacji trzeba kliknąć dwukrotnie na dany wpis. Należy zwrócić szczególną uwagę na wpisy typu Błąd lub Ostrzeżenie.
    Klikając prawym przyciskiem myszy na wybranym dzienniku zdarzeń oraz wybierając jego Właściwości, możemy zmienić jego parametry. Możemy ustawić inną nazwę wyświetlaną, zmienić maksymalny rozmiar dziennika (domyślnie jest to 16 MB) a także zdecydować, co się stanie w przypadku zapisania całego dziennika. W zakładce Filtr wybieramy typy zdarzeń, które nas interesują, możemy także określić źródło zdarzenia oraz kategorie.
Kiedy zostanie osiągnięty maksymalny rozmiar dziennika, najstarsze wpisy są zazwyczaj zastępowane nowymi. Aby uchronić się przed taką sytuacją możemy archiwizować pliki dziennika ręczenie oraz czyścić je. Aby zapisać plik dziennika klikamy prawym przyciskiem myszy w konsoli Zarządzanie komputerem na interesujący nas dziennik, po czym wybieramy opcję Zapisz plik dziennika jako. W nowym oknie wpisujemy nazwę i wybieramy lokalizacje zapisywanego pliku. Pliki mogą być zapisane w trzech formatach:

• jako własny format dziennika zdarzeń dostępny poprzez narzędzie Podgląd zdarzeń (*.evt)
• jako plik tekstowy rozdzielany tabulatorami, który można wyeksportować np. do arkusza kalkulacyjnego
• jako plik tekstowy rozdzielany przecinkami, przeznaczony do importu do bazy danych.

    Aby wyczyścić dziennik zdarzeń klikamy na niego prawym klawiszem myszy, wybieramy Właściwości a następnie wciskamy przycisk Wyczyść dziennik. Dobrą praktyką jest okresowa archiwizacja i ręczne czyszczenie wszystkich dzienników. W ten sposób mamy pewność, że nie zostały zamazane żadne wpisy z dziennika. Przy czym należy pamiętać o zachowaniu konwencji nazw dziennika np. aplikacja-2003-03 co ułatwi nam późniejszą analizę, jeżeli ta będzie potrzebna.

Dla Jamy Mastaha: Marcin Mierzejewski.