系統監視器
“系統監視器”提供有關操作系統的特定組件,以及專門收集性能數據程序所使用的資源的詳細數據,或者將數據導出到電子表格程序或用於分析和生成報表的數據庫中。通過對服務器主要性能參數(處理器利用情況、硬盤I/O傳輸率、內存利用率和頁面文件的活動)的監測,及時採取相應的措施,有效地避免由於負荷過重而導致系統癱瘓或響應時間過長等問題。
3.1.1 系統監視器概述
使用“系統監視器”,可以通過下列方法衡量自己的計算機或網絡中其他計算機的性能:
收集並查看本地計算機或幾個遠程計算機的實時性能數據。在Windows Server 2003家族中已經修改了其可用性。例如,可以同時刪除多個計數器並直接從列表窗口中顯示計數器的數據屬性頁。可將從性能日誌文件或SQL數據庫中選擇的數據保存爲新文件,以便稍後進行分析。
查看計數器日誌中當前或以前收集的數據。現在使用Windows Server 2003家族,可以同時查看多個日誌文件中的數據。
在可打印的圖表、直方圖或報告視圖中顯示數據。
將“系統監視器”功能合併到支持ActiveX控件的應用程序中,例如網頁、Microsoft Word以及Microsoft Office中的其他應用程序。
在性能視圖下創建HTML頁。可以通過瀏覽器查看以HTML格式存儲的視圖。
創建可重複使用的監視配置,這些配置可以安裝在其他使用Microsoft管理控制檯(MMC)的計算機上。
3.1.2 數據收集方式
使用系統監視器,可以收集和查看大量有關硬件資源使用數據以及所管理的計算機上系統服務活動的數據。可以通過下列方式定義希望系統監視器收集的數據:
數據類型。選擇將收集的數據,可以指定性能對象、性能計數器和性能對象實例。有些對象提供關於系統資源(例如內存)的數據,而其他對象則提供應用程序操作(例如系統服務)的數據。
數據源。“系統監視器”可以從本地計算機或者從擁有管理憑據的網絡上的其他計算機收集數據。默認情況下,要求擁有管理憑據。此外,可以包含實時數據和以前使用計數器日誌收集的數據。使用Windows Server 2003家族,可以查看以前通過“性能日誌和警報”服務收集並存儲在SQL數據庫中的性能數據。
採樣參數。系統監視器根據指定的時間間隔支持手動按需採樣或自動採樣,這種功能僅適用於實時數據。查看記錄的數據時,還可以選擇開始和停止時間,以便查看跨越特定時間範圍的數據。
除了定義數據內容的選項外,在設計“系統監視器”視圖的外觀時還有相當大的靈活性:
顯示類型。“系統監視器”支持圖表、直方圖和報告視圖。圖表視圖爲默認視圖,它提供的可選設置最多。
顯示特徵。對3種視圖中的任何一種,都可以定義顯示的顏色和字體。
在圖表或直方圖中查看性能數據時,可以從多種不同的選項選擇:
爲圖表或直方圖指定標題並標記垂直軸線;
設置圖表或直方圖描述的值的範圍;
調整繪製的線條和分欄的特徵來指定計數器的值,包括顏色、寬度和樣式等其他圖形特徵。
3.1.3 系統監視器的設置
系統監視器默認情況下,對內存、硬盤及CPU的運行狀況進行監視,網絡管理員可以對顯示方式、數據、來源和外觀進行調整,滿足監控的需要。下面將介紹系統監視器的設置。
依次單擊“開始”→“管理工具”→“性能”,顯示圖3-1所示“性能”窗口,查看系統監視器。
1. 設置顯示方式
圖3-1 “性能”窗口
默認狀態下,性能以圖表視圖方式顯示。單擊工具欄中的相應按鈕,可以以直方圖或報告視圖方式顯示。圖表視圖使用線性圖表格式顯示一段時間內的計數器數據。直方圖視圖(如圖3-2所示)可按條形圖格式顯示計數器數據,每個計數器實例僅顯示一個數值。報告視圖可按表格形式顯示計數器數據,每個計數器實例僅顯示一個數值。在報告視圖中,計數器名稱和數據數值顯示在與之相關聯的性能對象下面的行中,每個實例及其數據顯示在單獨的列中。
2. 設置數據來源
單擊工具欄中的“查看日誌數據”按鈕,或者在圖表中右擊,並在快捷菜單中選擇“屬性”命令,顯示圖3-3所示“系統監視器 屬性”對話框。在“來源”選項卡中,選擇“當前活動”選項,顯示當前活動的性能情況,還可以選擇“日誌文件”或“數據庫”選項,用於顯示歷史上的性能情況。
圖3-2 直方圖視圖
3. 設置默認視圖與採樣方式
圖3-3 “系統監視器 屬性”對話框
選擇“常規”選項卡(如圖3-4所示),在“查看”欄中可以指定顯示類型,在“顯示元素”欄選擇視圖的具體樣式。對於“報告和直方圖數據”欄,如果選擇平均值、最小值或最大值統計信息,就會在每個採樣間隔中計算統計信息。但這會爲實時數據帶來額外的性能開銷。另外,還可指定所需的採樣選項。若以定期間隔自動採樣,可選中“自動採樣間隔”複選框,並在“秒”文本框中輸入間隔時間(秒)。默認間隔爲1秒。若欲手動採樣,應當清除“自動採樣間隔”複選框。選擇手動採樣時,應使用“更新數據”按鈕來收集採樣。
4. 設置視圖外觀樣式
圖3-4 “常規”選項卡
選擇“外觀”選項卡(如圖3-5所示),可更改背景、圖表、文本和字體屬性。若欲更改顏色元素,先在“顏色”下拉列表框中,選擇想要更改其顏色的圖形元素,單擊“更改”按鈕,並在“顏色”對話框中選擇中意的顏色。“顏色”中的可用元素是:
圖表背景。計數器數據圖表的窗口區域的背景顏色。
控制背景。環繞數據圖表的窗口區域的背景顏色。
文本。文本顏色。
網格。垂直或水平網格線條所用的顏色。
時間欄。計時器欄所用的顏色。
若欲更改圖形上的文本或數字所用的字體,在“字體”欄中單擊“更改”按鈕,然後設置想要的任何字體選項。選項包括“字體”、“字形”、“大小”和“字符集”。
5. 設置計數器
圖3-5 “外觀”選項卡
選擇“數據”選項卡(如圖3-6所示),可更改計數器和計數器屬性。默認情況下,“系統監視器”會顯示本機的Pages/sec、Avg.Disk Queue Length、% Processor Time計數器的數據。
添加。選擇“添加”按鈕,打開“添加計數器”對話框,可以在此選擇要添加的其他計數器。
刪除。刪除在計數器列表中選定的計數器。
顏色。更改所選計數器的顏色。
比例。在圖表或直方圖視圖中更改所選計數器的顯示比例。計數器數值可以在0.0000001到1000000.0之間線性調整。可以調整計數器比例設置以提高圖表中計數器數據的可視性。更改比例不影響數值條中顯示的統計數據。
寬度。更改所選計數器的線寬。注意在定義線寬同時確定了可用的線條樣式。
樣式。更改所選計數器的線條樣式。只有使用默認線寬才能選擇樣式。
6. 設置標題和網格
選擇“圖表”選項卡(如圖3-7所示),可將標題、網格和其他屬性添加到圖表。
圖3-6 “數據”選項卡
圖3-7 “圖表”選項卡
3.2 性能日誌和警報
日誌提供了對這些數據進行記錄的能力。當計數器值到達、高於或低於所定義的閾值時,警報將向用戶發送通告,從而在系統性能達到極限時,及時通知系統管理員採取必要的措施,有效避免可能的系統癱瘓。
3.2.1 性能日誌和警報概述
“性能日誌和警報”具有如下功能:
Windows Server 2003家族提供的新功能包括以不同的賬戶運行日誌集合。例如,如果需要管理憑據從遠程計算機記錄數據,可以指定一個具有必需憑據的賬戶。
Windows Server 2003家族支持超過1GB大小的日誌文件,並且在使用新的日誌文件格式後,性能數據可以附加到現有日誌文件中。
“性能日誌和警報”收集逗號分隔或製表符分隔格式的數據,以便更容易導入到電子表格程序中。還提供二進制日誌文件格式,用於循環記錄或記錄示例,例如可能在日誌開始蒐集數據後開始的線程或進程。循環日誌記錄是某單個文件記錄日誌數據的持續過程,用新數據覆蓋先前數據。
可以收集SQL數據庫格式的數據。該選項定義現有SQL數據庫和該數據庫內的日誌集的名稱,可在該數據庫內讀取或寫入性能數據。當基於企業級(而不是基於每個計算機)收集和分析性能數據時,該文件格式很適用。直接向SQL數據庫記錄數據是通過開放數據庫連接(ODBC)提供支持。
可以在收集數據期間,或在停止收集後查看由“性能日誌和警報”收集的計數器數據。
因爲日誌作爲服務運行,不管是否有用戶登錄到被監視的計算機,數據收集都會發生。
可以定義用於自動日誌生成的起始和終止時間、文件名、文件大小以及其他參數。
可以從單個控制檯窗口管理多個日誌會話。
可以設定計數器上的性能警報,因此指定將發送的消息、運行的程序、用於應用程序事件日誌的項目或者當選定計數器值超過或低於某一指定設置的時候啓動日誌。
“性能日誌和警報”支持定義性能對象、性能計數器和性能對象實例,同時支持爲有關監視硬件資源和系統服務的數據設定採樣間隔。“性能日誌和警報”還提供其他與記錄性能數據相關的選項,包括:
啓動和停止日誌,或者根據需要手動進行,或者按照用戶定義的計劃自動實現。
配置其他設置,用於自動日誌記錄,例如自動文件重命名和爲終止和啓動一個基於已用時間或者文件大小的日誌文件設置參數。
創建跟蹤日誌。使用默認的Windows Server 2003家族數據提供程序或其他應用程序提供程序,當某些活動(例如磁盤輸入/輸出(I/O)操作或頁面錯誤)發生時,跟蹤日誌將記錄詳細的系統應用程序事件。當該事件發生時,操作系統將系統數據記錄到由“性能日誌和警報”服務指定的文件中。這與計數器日誌的操作不同,當使用計數器日誌時,經過一個更新間隔,該服務從系統中取得數據,而不是等待某一個特定的事件。需要分析工具解釋跟蹤日誌輸出。
監視服務器性能
要監視簡單服務器配置的性能,需要收集某個時間段內的3種不同類型的性能數據:
常規性能數據。該信息可幫助識別短期趨勢(如內存泄漏)。經過一兩個月的數據收集後,可以求出結果的平均值並用更緊湊的格式保存這些結果。這種存檔數據可幫助我們在業務增長時作出容量規劃,並有助於在日後評估上述規劃的效果。
比較基準的性能數據。該信息可幫助我們發現緩慢、歷經長時間才發生的變化。通過將系統的當前狀態與歷史記錄數據相比較,可以排除系統問題並調整系統。由於該信息只是定期收集的,所以不必對其進行壓縮存儲。
服務水平報告數據。該信息可幫助我們確保系統能滿足一定的服務或性能水平,也可能會將該信息提供給並不是性能分析人員的決策者。收集和維護該數據的頻率取決於特定的業務需要。
打開“性能”窗口,展開左側控制檯樹,選擇“性能日誌和警報”→“計數器日誌”,任何現有的計數器日誌都將在右側詳細信息窗格中列出(如圖3-8所示)。綠色圖標表明日誌正在運行;紅色圖標表明日誌已停止運行。
右擊詳細信息窗格中的空白區域,在快捷菜單中選擇“新建日誌設置”命令,顯示圖3-9所示“新建日誌設置”對話框。
在“名稱”文本框中輸入計數器日誌的名稱,然後單擊“確定”按鈕,顯示圖3-10所示日誌對話框。
在“常規”選項卡上,單擊“添加對象”按鈕並選擇要添加的性能對象,或者單擊“添加計數器”按鈕選擇要記錄的單個計數器。
單擊“添加對象”按鈕,顯示圖3-11所示“添加對象”對話框。選擇“使用本地計算機計數器對象”選項,並在“性能對象”列表框中選擇欲記錄的對象。若不太清楚所選擇的性能對象,可單擊“說明”按鈕,系統將彈出對話框顯示詳細說明。單擊“添加”按鈕,將該對象添加至日誌記錄。
 |
| 圖3-8 計數器日誌詳細信息 |
 |
| 圖3-9 “新建日誌設置”對話框 |
 |
| 圖3-10 日誌對話框 |
 |
| 圖3-11 “添加對象”對話框 |
單擊“添加計數器”按鈕,顯示圖3-12所示“添加計數器”對話框。選擇“使用本地計算機計數器”選項,在“性能對象”下拉列表框中選擇欲記錄的對象,並選擇“從列表中選擇計數器”,然後,在列表框中選擇欲添加的計數器。若不太清楚所選擇的性能對象,可單擊“說明”按鈕,系統將彈出對話框顯示詳細說明。單擊“添加”按鈕,將該計數器添加至日誌記錄。
單擊“關閉”按鈕,返回日誌對話框,添加的對象和計數器將顯示在“計數器”列表框,如圖3-13所示。
 |
| 圖3-12 “添加計數器”對話框 |
 |
| 圖3-13 添加對象和計數器 |
需要注意以下幾點:
若欲保存計數器日誌、跟蹤日誌或警報的設置,應右擊詳細信息窗格中的日誌或警報,然後單擊“將設置另存爲”命令。隨後可以指定要用來保存該設置的.htm文件。若欲將保存的設置重新用於新日誌或警報,可右擊詳細信息窗格,然後單擊“新的日誌設置來自”或“新的警報設置來自”。這是從日誌或警報配置中生成新設置的簡便方法。也可在Internet Explorer中打開HTML文件以顯示“系統監視器”圖形。
若要從指定計算機記錄對象而不考慮運行服務的位置,可單擊“從計算機選擇計數器對象”並指定要監視的計算機的通用命名約定(UNC)名稱,如//MyLogServer。
某些對象類型有多個實例。例如,如果系統有多個處理器,則Processor對象類型將有多個實例。如果系統有兩個磁盤,則Physical Disk對象類型有兩個實例。一些對象類型,例如Memory和Server只有一個實例。如果對象類型有多個實例,則可以針對每個實例將計數器添加到跟蹤統計中,或者在許多情況下,可一次針對所有實例將計數器添加到跟蹤統計中。默認情況下,計數器以實例名和實例索引顯示。
3.2.3 設置警報
利用警報設置,可幫助網絡管理員定義對服務器特定設備如CPU、內存的狀態進行監控,當出現故障或者異常的時候,發出報警信息。在默認狀態下,警報沒有做任何設置,需要網絡管理員自定義警報設置,完成對服務器的監控。下面介紹如何設置警報。
打開“性能”窗口,展開左側控制檯樹,選擇“性能日誌和警報”→“警報”,任何現有的警報將在右側詳細信息窗格中列出(如圖3-14所示)。綠色圖標表明警報正在運行;紅色圖標表明警報已停止運行。
右擊詳細信息窗格的空白區域,然後在快捷菜單中單擊“新建警報設置”命令,顯示圖3-15所示“新建警報設置”對話框。
3.2.4 決定計數器的可接受值
系統處理一個典型的負載並運行所有必要的服務時,考慮可以接受的系統性能級別是其基準。這種基準性能是管理員根據工作環境確定的一種主觀標準。基準性能可以與計數器值的範圍對應,包括一些暫時無法接受的值,但是通常表示在管理員特定的條件下可能的最佳性能。基準可以是用來設置用戶性能標準的度量標準,並可以包含在使用的任何服務協議中。
決定性能是否可以接受是一種主觀判斷,隨用戶環境的變化而明顯地變化。然而,表3-1包含特定計數器的閾值,可以幫助我們確定系統報告的值是否指明瞭問題。如果“系統監視器”連續報告這些值,可能是系統存在瓶頸,應當採取措施來調整或更新受影響的資源。與即時計數器值的平均值相比,顯示一段時間內使用比例的計數器是一個更加詳細的衡量標準。例如,在性能數據衡量標準中,在比較短的一段時間內超出正常工作條件的兩個數據點可能會使平均值偏離真實值。因而它沒有正確反映這段數據收集期間內的總體工作性能。
表3-1 部分重要計數器的建議閾值
3.2.5 性能監視操作技巧
設置性能監視時,應當注意以下幾個方面的問題:
1. 合理設置監視配置
配置“性能日誌和警報”以定期(例如每10到15分鐘)報告所推薦計數器的數據。保留過期的日誌,將數據存儲在數據庫中,並查詢要報告的數據以及根據需要分析數據以進行總體性能評價、趨勢分析和功能計劃。
2. 使監視開銷保持爲低
通常,性能工具設計爲保持最低開銷。但是,在下列情況下開銷可能會增加:
在圖表視圖中運行“系統監視器”;
已經選擇了一個非“系統監視器”圖表或報告視圖的默認值(當前值)的選項;
採樣間隔太短(間隔小於3秒);
已經選擇了許多不同的對象和計數器。
影響性能的性能工具操作的其他方面包含文件大小、日誌文件佔用的磁盤空間。要減小文件大小和相關的磁盤空間使用,請延長更新間隔。同時,不要記錄到正在監視的磁盤。頻繁地記錄還會增加對磁盤輸入/輸出(I/O)的需求。
如果需要考慮監視開銷,則只運行“性能日誌和警報”服務,而不使用“系統監視器”圖表監視。
遠程計數器進行本地記錄期間,頻繁地更新會由於網絡傳輸而降低性能。在這種情況下,建議在遠程計算機上連續記錄,但是上載日誌不要太頻繁,例如一天一次。
3. 分析性能結果並建立性能基準
使用“系統監視器”顯示或將記錄的數據導出以便打印,以便將所記錄的數據製成圖表對其進行審閱。將數值與分析性能數據中所示的計數器閾值比較,驗證資源使用情況或其他活動是否在可接受的限度內。根據認爲滿足一般工作負載的性能級別設置基線。
4. 設置警報
按照自己認爲不可接受的計數器值(通過基準評估進行定義)設置警報。
5. 調整性能
調整系統設置和工作負載以提高性能,並反覆監視,以檢查調整的結果。
6. 提前制訂計劃
監視容量計劃的趨勢,並根據需要添加或更新組件。維護數據庫中的記錄數據並觀察變化以標識資源需要的變化。觀察到活動或資源需求發生變化後,可以確定哪些地方可能需要更多資源。
3.2.6 性能問題解決策略
分析監視數據會揭示一些問題,例如對某些資源的過度需求所造成的性能瓶頸。作爲此分析的結果,我們可能發現系統執行情況有時令人滿意,有時並不令人滿意。根據這些偏差的原因和差異程度,可以選擇採取一些相關措施。下面簡單介紹一下瓶頸的常見原因以及所推薦的調整和測試方法。
1. 瓶頸的原因
由於下列原因,對資源的過度需求可能導致資源瓶頸:
資源不足,並且需要附加或升級組件。
資源共享工作負載不平均,需要平衡。
資源出現故障,需要替換。
程序獨佔特定的資源,這可能需要替換成其他程序、讓開發人員重新編寫該程序,添加或升級資源,或者在需求較低時運行該程序。
資源配置不正確,需要更改配置設置。
2. 調節和測試的策略
內存不足是計算機系統中引起嚴重的性能問題的最常見原因。如果懷疑存在其他問題,請檢查內存計數器以排除內存短缺問題。工作站響應速度過慢最有可能是內存和處理器問題造成的;服務器更有可能受磁盤和網絡問題的影響。
在開始調節之前,請先考慮下列建議:
每次只更改一處。某些情況下,看起來與單個組件有關的問題可能是與多個組件有關的性能下降造成的。因此,分開解決問題非常重要。
同時進行多處更改可能會無法評估每個更改的影響。
每次更改後重復監視。這對於瞭解更改的影響以及確定是否需要其他更改非常重要。系統地進行操作,對標識出來的資源每次更改一處,然後測試該更改對性能的影響。因爲調節更改可能會影響其他資源,所以,保存更改的記錄並在更改後重新監視非常重要。
除了監視之外,還要審閱事件日誌,因爲有些性能問題會產生在"事件查看器"中顯示的輸出。
要查看網絡組件在性能問題中是否起作用,請將在網絡上運行該程序的性能與在本地運行該程序的性能作比較。
3. 組件調節和升級
本節列出了要監視資源的調節提示:
(1)內存
增加物理內存,使之超過所需的最小內存。
使用多個磁盤時創建多個頁面文件。
確定頁面文件的正確大小。建議初始頁面文件大小爲可用RAM的1~1.5倍,這取決於所使用的系統。實際需要的大小取決於工作負載。
確保合理配置內存設置。
在最高性能的計算機上或當系統工作負載較輕時運行需要大量內存的程序。
(2)磁盤
升級到更高速度的磁盤或增加磁盤。如果可能,升級磁盤控制器和總線。
在服務器上,使用"磁盤管理"在多個物理磁盤上創建帶區卷。這種解決方案增加了吞吐量,因爲I/O命令可以同時發佈。
在服務器之間分配程序。分佈式文件系統(DFS)可以用來平衡工作負載。
將大量使用磁盤I/O的任務隔離在單獨的物理磁盤或磁盤控制器上。
使用磁盤碎片整理程序來合併文件,以優化數據訪問和磁盤空間。
如果要提高磁盤訪問的效率,可以考慮安裝最新的主機適配器或主板驅動程序軟件。與適配器或主板製造商聯繫以獲取有關信息。
(3)處理器
添加一個處理器(尤其適用於多線程程序)。升級到一個更快的處理器,或使用具有更大高速緩存的處理器。
在多處理器計算機中,管理與處理線程和中斷有關的處理器相似。
(4)網絡
配置所使用的網絡,使由同一組人員共享的系統位於同一子網上。
解除很少使用的網卡綁定。
如果正在使用多個協議,可以設置工作站和NetBIOS軟件綁定到每個協議的順序。更改列表順序的一些原因在於,第一,如果最常用的協議位於綁定列表的首位,平均連接時間將縮短。第二,對於某些網絡拓撲,有些協議比其他協議速度更快。如果要優化客戶端計算機,將運行比較快的協議放在綁定列表的首位可以提高性能。因爲服務器使用客戶端計算機選擇的協議接受傳入連接,所以沒有理由重新排列服務器計算機綁定。
使用多個網卡。Windows Server 2003家族操作系統支持特定協議使用多個適配器並且支持特定適配器使用多個協議。儘管此配置創建的網絡彼此之間無法通信,但這是增加文件共享吞吐量的一種方法。
3.3 任務管理與進程管理
Windows操作系統中運行着衆多的任務和進程,在系統當前運行的進程裏包括:系統管理計算機個體和完成各種操作所必需的進程;用戶開啓、執行的額外程序進程,當然也包括用戶不知道,而自動運行的非法進程(它們就有可能是病毒程序)。
要通過進程列表查看系統是否染毒,必須打開當前的執行程序進程列表,要查看進程列表,可以使用Windows操作系統提供的任務管理器。
進程是程序在計算機上的一次執行活動。當運行一個程序,就啓動了一個進程。顯然,程序是死的(靜態的),進程是活的(動態的)。進程可以分爲系統進程和用戶進程。凡是用於完成操作系統的各種功能的進程就是系統進程,它們就是處於運行狀態下的操作系統本身;用戶進程就是所有由計算機使用者啓動的進程。
操作系統對任務和進程提供了不同的管理工具,下面將分別介紹對任務和進程的管理。
3.3.1 任務管理器 3.4.2 事件類型
在左側控制檯樹中選擇欲查看的事件,相關事件的簡略信息顯示在右側欄中(如圖3-41所示)。
“任務管理器”提供有關運行在計算機上的程序和進程的信息,以及它的處理器和內存使用情況的摘要,還顯示最常用的度量進程性能的單位。
使用任務管理器可以監視計算機性能的關鍵指示器。可以查看正在運行的程序的狀態,並終止已停止響應的程序。還可以使用多達15個參數評估正在運行的進程的活動,查看反映CPU和內存使用情況的圖形和數據。還可以查看網絡狀態,瞭解網絡的運行情況。如果有多個用戶連接到計算機,甚至可以看到誰在連接、在做什麼,還可以給他們發送消息。
同時按下Alt+Ctrl+Del鍵,顯示圖3-21所示“Windows安全”對話框。
3.3.2 進程管理
進程是一個具有一定獨立功能的程序關於某個數據集合的一次運行活動。進程是指在系統中正在運行的一個應用程序;線程是系統分配處理器時間資源的基本單元,或者說是進程之內獨立執行的一個單元。對於操作系統而言,其調度單元是線程。一個進程至少包括一個線程,通常將該線程稱爲主線程。一個進程從主線程的執行開始進而創建一個或多個附加線程,就是所謂基於多線程的多任務。
1. 進程管理器啓動
打開系統進程的方式很簡單,同時按下快捷鍵Ctrl+Alt+Delete,可打開Windows 2000、Windows XP、Windows 2003操作系統進程窗口。三鍵後打開的是“Windows 任務管理器”窗口,選擇裏面的“進程”選項卡。Windows 2000系統只顯示具體進程的全名和佔用的內存量;Windows XP、Windows 2003系統相比Windows 2000會顯示該進程歸屬於哪個用戶下,如操作系統所必須的基礎程序,會在後面的“用戶名”內顯示爲“SYSTEM”,由用戶另外開啓的程序,則用戶名爲當前的系統登錄用戶名。
在Windows 2000、Windows XP中可以使用Ctrl+Shift+Esc快捷鍵。在Windows XP中,這兩個組合熱鍵的功能有所不同:
不管在什麼情況下,使用“Ctrl+Shift+Esc”組合鍵都可直接打開任務管理器。
如果在“用戶賬戶”設置中開啓“使用歡迎屏幕”功能,按下Ctrl+Alt+Delete組合鍵同樣是直接打開任務管理器,在菜單中多出“關機”菜單項,在這裏提供了“待機”、“休眠”、“註銷”、“鎖定計算機”等命令。
如果在“用戶賬戶”設置中開啓了“使用快速用戶切換”功能,在任務管理器的標籤中還會多出“用戶”一項,通過它可以斷開或註銷當前用戶登錄。
如果禁用“使用歡迎屏幕”,按下Ctrl+Alt+Delete組合鍵則會打開“Windows安全”對話框,要打開任務管理器還需要單擊“任務管理器”按鈕或按下“T”鍵,而且任務管理器中不會出現“關機”菜單和“用戶”標籤。
2. 顯示任務進程
Windows操作系統提供了兩種顯示任務進程的方法,即圖形模式和命令行模式。
(1)圖形模式
對於Windows 2000/2003/XP/Vista用戶而言,可以直接按下Ctrl+Shift+Esc組合鍵,打開本地計算機的Windows進程管理器。
單擊“進程”標籤,即可察看系統中運行的進程列表,如圖3-27所示。
(2)命令行模式
若欲顯示運行在本地或遠程計算機上的所有任務的應用程序和服務列表,並帶有進程ID(PID),可以使用tasklist命令。命令格式如下:
tasklist[.exe] [/s computer] [/u domain/user [/p password]] [/fo {TABLE|LIST|CSV}] [/nh] [/fi FilterName [/fi FilterName2 [ ... ]]] [/m [ModuleName] | /svc | /v]
其中
/s Computer 指定遠程計算機名稱或IP地址(不能使用反斜槓)。默認值是本地計算機。
2. 顯示任務進程
Windows操作系統提供了兩種顯示任務進程的方法,即圖形模式和命令行模式。
(1)圖形模式
對於Windows 2000/2003/XP/Vista用戶而言,可以直接按下Ctrl+Shift+Esc組合鍵,打開本地計算機的Windows進程管理器。
單擊“進程”標籤,即可察看系統中運行的進程列表,如圖3-27所示。
(2)命令行模式
若欲顯示運行在本地或遠程計算機上的所有任務的應用程序和服務列表,並帶有進程ID(PID),可以使用tasklist命令。命令格式如下:
tasklist[.exe] [/s computer] [/u domain/user [/p password]] [/fo {TABLE|LIST|CSV}] [/nh] [/fi FilterName [/fi FilterName2 [ ... ]]] [/m [ModuleName] | /svc | /v]
其中
/s Computer 指定遠程計算機名稱或IP地址(不能使用反斜槓)。默認值是本地計算機。
3. 結束任務進程
Windows操作系統提供了兩種結束任務進程的方法,圖形模式和命令行模式。
(1)圖形模式
在打開的任務管理器中,選中“進程”選項卡。選中需要結束的進程,單擊“結束進程”按鈕,顯示圖3-33所示“任務管理警告”信息提示框。
3.4 事件查看器
使用“事件查看器”,可以查看和設置事件日誌的日誌選項,以便收集有關硬件、軟件和系統問題的信息。當啓動Windows時,“事件日誌”服務自動啓動。
3.4.1 日誌記錄事件
默認情況下,運行Windows Server 2003家族操作系統的計算機以3種類型的日誌記錄事件:
應用程序日誌
應用程序日誌包含由應用程序或系統程序記錄的事件。例如,數據庫程序可在應用程序日誌中記錄文件錯誤。應用程序開發人員決定記錄哪些事件。
安全日誌
安全日誌記錄諸如有效和無效的登錄嘗試等事件,以及記錄與資源使用相關的事件,如創建、打開或刪除文件或其他對象。例如,如果已啓用登錄審覈,登錄系統的嘗試將記錄在安全日誌中。
系統日誌
系統日誌包含Windows系統組件記錄的事件。例如,在啓動過程中加載驅動程序或其他系統組件失敗將記錄在系統日誌中。服務器預先確定由系統組件記錄的事件類型。
運行Windows Server 2003家族操作系統且配置爲域控制器的計算機以另外兩種日誌記錄事件:
目錄服務日誌
目錄服務日誌包含Active Directory服務記錄的事件。例如,在目錄服務日誌中記錄服務器和全局編錄間的連接問題。
文件複製服務日誌
文件複製服務日誌包含Windows文件複製服務記錄的事件。例如,在文件複製日誌中,記錄着文件複製失敗和域控制器(利用關於系統卷更改的信息)更新時發生的事件。
運行Windows 並配置爲域名系統(DNS)服務器的計算機在其他日誌中記錄事件:
DNS服務器日誌
DNS服務器日誌包含DNS服務記錄的日誌。
另外,根據所安裝服務的情況,計算機可能會提供其他類型的事件和事件日誌。
“事件查看器”顯示5種類型的事件,即錯誤、警告、信息、成功審覈和失敗審覈。不同事件類型及其意義如表3-3所示。
表3-3 事件類型及其意義
3.4.3 查看事件
依次單擊“開始”→“管理工具”→“事件查看器”,顯示圖3-40所示“事件查看器”窗口,查看系統事件。
圖3-40 “事件查看器”窗口
在右側欄中雙擊欲查看的事件,顯示圖3-42所示“事件屬性”對話框,顯示事件的詳細信息。單擊“複製”按鈕,可將該信息複製到剪貼板。單擊“↑”或“↓”按鈕,可查看上一條或下一條信息。
圖3-41 事件簡略信息
 |
| 圖3-42 “事件查看器”窗口 |
在左側控制檯樹中的欄相關事件上右擊,可在快捷菜單中執行保存、清除和刷新等操作。
3.5 網絡監視器
儘管系統監視器提供了相當多的網絡屬性計數器,但它們都偏重於網絡物理性能的情況而非網絡數據的內容。Windows Server 2003提供了專門用於採集網絡數據流並提供分析能力的工具——網絡監視器。
網絡監視器能提供網絡利用率和數據流量方面的一般性數據,還能夠從網絡中捕獲數據幀,並能夠篩選、解釋及分析這些數據的來源、內容等信息。當監視工作的主要着眼點是網絡時,應使用網絡監視器進行數據採集和處理。鑑於大多數網絡在網絡結構上是基於廣播工作的以太網,廣播的工作方式決定了在一臺計算機上可以採集到子網內的全部通信量,因此網絡監視器的有效範圍遍及路由器以內的全部計算機通信。
【提示】 網絡監視器並不是Windows Server 2003的默認組件,使用之前必須先通過“添加或刪除Windows組件”嚮導進行安裝,並且需要用到Windows Server 2003安裝光盤。
3.5.1 捕獲篩選器的設置
依次單擊“開始”→“管理工具”→“網絡監視器”即可啓動安裝好的網絡監視器,Windows Server 2003的網絡監視器提供了捕獲篩選器功能,在“網絡監視器”主窗口中單擊“捕獲”菜單並選擇“篩選器”選項,打開圖3-43所示的“捕獲篩選器”對話框。捕獲篩選器的功能就像數據庫查詢一樣,可以使用它指定要監視的網絡信息類型。例如,要只查看計算機或協議的特定子集,可以創建地址數據庫,使用該數據庫將地址添加到篩選器中,然後將篩選器保存爲一個文件。通過對幀進行篩選,既可節省緩衝區資源,又可節省時間。必要的話,以後還可以再次加載捕獲篩選器文件並使用篩選器。
 |
| 圖3-43 捕獲篩選器 |
使用篩選器之前必須爲篩選器設定相應的篩選條件,即在“捕獲篩選器”對話框中指定判斷語句。該對話框將顯示篩選器的判斷樹,它是篩選器邏輯的圖形表示。當在捕獲規則中包含或排除信息時,判斷樹將反映這些規則。
1. 按協議進行篩選
要捕獲使用特定協議發送的幀,可以在捕獲篩選器中雙擊“SAP/ETYPE=”指定協議,如圖3-44所示。例如,如果希望僅捕獲IP幀,請禁用所有協議,然後啓用IP ETYPE 0x800和IP SAP 0x6。默認情況下,將啓用網絡監視器所支持的所有協議。也可以僅指定使用ETYPE或SAP的協議。
2. 按地址進行篩選
要捕獲所使用的計算機和網絡中的指定計算機之間傳送的幀,請在捕獲篩選器中指定一個或多個地址對,雙擊“地址對”打開圖3-45所示的“地址表達式”對話框,最多能同時監視4個地址對。
 |
| 圖3-44 按協議進行篩選 |
 |
| 圖3-45 地址表達式 |
地址對由以下部分組成:
希望監視其通信的兩臺計算機的地址;
指定希望監視的通信方向的箭頭;
INCLUDE或EXCLUDE關鍵字,指示網絡監視器如何響應符合篩選器規則的幀。
不管在“捕獲篩選器”對話框中語句的顯示順序如何,都會首先評估EXCLUDE語句。因此,如果幀符合由篩選器(既包含EXCLUDE語句,又包含INCLUDE語句)中的EXCLUDE語句所指定的條件,那麼此幀將被丟棄。網絡監視器不會根據INCLUDE語句測試此幀是否也符合標準。
3. 按數據模式進行篩選
在“捕獲篩選器”對話框中雙擊“模式匹配”,即可顯示圖3-46所示的對話框。
 |
| 圖3-46 模式匹配 |
只捕獲那些包含特定模式的ASCII或十六進制數據的幀。
指定在搜索開始前必須忽略的幀的字節數(偏移量)。
當按照模式匹配進行篩選時,必須指定在幀中的哪個位置開始搜索特定模式。該設置指定從幀的起始處或從拓撲標頭信息末尾到搜索模式開始點的距離(字節)。如果網絡介質在介質訪問控制協議中具有可變的大小,例如以太網或令牌環網,請指定從拓撲標頭信息末尾開始計數。
3.5.2 捕獲和顯示捕獲的數據
設置好篩選判斷條件之後就可以開始捕獲網絡信息了,捕獲過程中用戶可以隨時暫停和重新開始網絡捕獲,並且可以根據臨時捕獲的數據信息做出各種判斷。
1. 捕獲數據
在“網絡監視器”窗口中單擊“捕獲”菜單並選擇“開始”命令即可開始捕獲,如圖3-47所示。網絡監視器捕獲數據的過程其實也就是複製幀的過程,可以捕獲發送到本地網絡適配器或從本地網絡適配器發出的所有網絡通信,也可以設置一個捕獲篩選程序來捕獲幀的子集。還可以指定一組條件來觸發某個事件。創建觸發器後,“網絡監視器”就可以響應網絡上的事件。例如,可以使操作系統在“網絡監視器”檢測到網絡上的一系列特定情況時,啓動某個可執行文件。在捕獲數據之後,可以查看它。“網絡監視器”可以將原始捕獲數據轉換爲邏輯幀結構。
 |
| 圖3-47 正在捕獲 |
2. 顯示捕獲數據
網絡監視器通過解釋在捕獲過程中收集的原始數據以及在“幀查看器”窗口中顯示數據來簡化數據分析過程。單擊“捕獲”菜單下的“停止並查看”項即可停止當前捕獲,並查看捕獲的數據信息,如圖3-48所示。
 |
| 圖3-48 查看捕獲數據 |
【提示】 用戶也可以打開一個已保存的捕獲文件(.cap)。
【說明】 要顯示用NetworkGeneralSniffer捕獲的數據,必須打開未壓縮的Sniffer文件。要查看壓縮的Sniffer文件,則在Sniffer中打開此文件然後以不壓縮格式保存此文件。或者,從NetworkGeneral中獲取Sniffer文件的解壓縮工具。
3.5.3 顯示篩選器的設置
像捕獲篩選器一樣,顯示篩選器功能就像數據庫查詢,允許用戶選出特定類型的信息。但是因爲顯示篩選器在已經捕獲的數據上操作,所以它不影響網絡監視器捕獲緩存中的內容。在捕獲結果窗口中單擊“顯示”菜單並選擇“篩選器”即可顯示圖3-49所示的“顯示篩選器”對話框。
使用顯示篩選器確定顯示的幀,可以根據如下內容篩選幀:
圖3-49 顯示篩選器
它的源地址和目標地址。
發送所使用的協議。
它所包含的屬性和值(屬性是協議頭中的數據字段。協議的屬性說明了協議的用途)
|
事 件 類 型 |
描 述 |
|
錯誤 |
重要的問題,如數據丟失或功能喪失。例如,如果在啓動過程中某個服務加載失敗,將會記錄“錯誤” |
|
警告 |
雖然不一定很重要,但是將來有可能導致問題的事件。例如,當磁盤空間不足時,將會記錄“警告” |
|
信息 |
描述了應用程序、驅動程序或服務的成功操作的事件。例如,當網絡驅動程序加載成功時,將會記錄一個“信息”事件 |
|
成功審覈 |
成功的任何已審覈的安全事件。例如,用戶試圖登錄系統成功會被作爲“成功審覈”事件記錄下來 |
|
失敗審覈 |
失敗的任何已審覈的安全事件。例如,如果用戶試圖訪問網絡驅動器並失敗了,則該嘗試將會作爲“失敗審覈”事件記錄下來 |
 |
| 圖3-33 “任務管理警告”信息提示框 |
單擊“是”按鈕,結束選定的進程。
(2)命令行模式
結束一個或多個任務或進程。可以根據進程ID或圖像名來結束進程。命令格式如下:
taskkill [/s Computer] [/u Domain/User [/p Password]]] [/fi FilterName] [/pid ProcessID]| [/im ImageName] [/f][/t]
其中
/s Computer 指定遠程計算機名稱或IP地址(不能使用反斜槓)。默認值是本地計算機。
/u Domain/User 運行具有由User或Domain/User指定用戶的賬戶權限命令。默認值是當前登錄發佈命令的計算機的用戶權限。
/p Password 指定用戶賬戶的密碼,該用戶賬戶在/u參數中指定。
/fi FilterName 指定將要終止或不終止的過程的類型。
/pid ProcessID 指定將終止的進程ID。
/im ImageName 指定將終止的進程的圖像名稱。使用通配符(*)指定所有圖像名稱。
/f 指定將強制終止的進程。對於遠程進程可忽略此參數,所有遠程進程都將被強制終止。
/t 指定終止與父進程一起的所有子進程,常被認爲是“樹終止”。
/? 在命令提示符顯示幫助。
使用該命令時,應當注意以下幾點:
只有與篩選器一起指定時,通配符(*)才能被接受;
無論是否指定/f參數,都會始終強制執行對遠程進程的終止操作;
向Hostname篩選器提供計算機名將導致關機和中止所有進程。
使用tasklist確定要終止的進程ID(PID)。
Taskkill替代了Kill工具。
示例1:關閉QQ進程,已知該進程的PID和圖像名分別爲856和QQ.exe
【提示】 在命令提示符窗口執行下面的任意一條命令,都可以關閉該進程:Taskkill 856或Taskkill QQ.exe。
不過這兩個命令還是有區別的,如果某應用程序打開了若干個進程,則Taskkill XX.exe命令將關閉該程序的全部進程;而Taskkill XX則只關閉該PID所對應的進程,如圖3-34所示。
 |
| 圖3-34 關閉進程 |
示例2:中止記事本-方法一
在命令行模式下輸入:
Tasklist /fi“imagename eq notepad.exe”
回車,運行後的結果顯示如圖3-35所示。
 |
| 圖3-35 記事本(Notepad.exe)的進程號 |
使用該命令,查看記事本(Notepad.exe)的進程號,假設進程號爲484,然後根據進程號中止記事本的運行。
在命令行模式下輸入:
Taskkill /PID 484
回車,運行後的結果顯示如圖3-36所示。
 |
| 圖3-36 中止記事本(Notepad.exe)的運行 |
使用該命令,中止記事本(Notepad.exe)的運行,可以看到正在打開的記事本窗口被關閉。
示例3:中止記事本-方法二
在命令行模式下輸入:
Taskkill /FI“Imagename eq Notepad.exe”
回車,運行後的結果顯示如圖3-37所示。
 |
| 圖3-37 中止記事本(Notepad.exe)的運行 |
使用該命令,中止記事本(Notepad.exe)的運行,可以看到正在打開的記事本窗口被關閉。
示例4:中止記事本-方法三
在命令行模式下輸入:
Taskkill /IM Notepad.exe
回車,運行後的結果顯示如圖3-38所示。
 |
| 圖3-38 中止記事本(Notepad.exe)的運行 |
使用該命令,中止記事本(Notepad.exe)的運行,可以看到正在打開的記事本窗口被關閉。
示例5:中止失去反應的應用程序
在命令提示符下輸入如下命令:
Taskkill /FI“status eq NOT RESPONDING”
回車,運行後的結果顯示如圖3-39所示。
 |
| 圖3-38 中止記事本(Notepad.exe)的運行 |
 |
| 圖3-27 進程列表 |
/u Domain/User 運行具有由User或Domain/User. 指定用戶的賬戶權限命令。默認值是當前登錄發佈命令的計算機的用戶權限。
/p Password 指定用戶賬戶的密碼,該用戶賬戶在/u參數中指定。
/fo {TABLE|LIST|CSV} 指定輸出所用的格式。有效值爲TABLE、LIST和CSV。輸出的默認格式爲TABLE。
/nh 取消輸出結果中的列標題。當/fo參數設置爲TABLE或CSV時有效。
/fi FilterName 指定該查詢包括或不包括的進程類型。下表列出了有效的篩選器名稱、運算符和值。
表3-2 有效的篩選器名稱、運算符和值
|
名 稱 |
運 算 符 |
值 |
|
Hostname |
eq, ne |
任何有效字符串 |
|
Status |
eq, ne |
RUNNING|NOT RESPONDING |
|
Imagename |
eq, ne |
任何有效字符串 |
|
PID |
eg, ne, gt, lt, ge, le |
任何有效的正整數 |
|
Session |
eg, ne, gt, lt, ge, le |
任何有效的會話數 |
|
CPUTime |
eg, ne, gt, lt, ge, le |
hh:mm:ss格式的有效時間。mm參數和ss參數應在0到59之間,hh 參數可以是任何一個有效的無符號的數值 |
|
Memusage |
eg, ne, gt, lt, ge, le |
任何有效的整數 |
|
Username |
eq, ne |
任何有效的用戶名 ([Domain/]User) |
|
Services |
eq, ne |
任何有效字符串 |
|
Windowtitle |
eq, ne |
任何有效字符串 |
/m [ModuleName] 指定顯示每個進程的模塊信息。指定模塊時,將顯示使用此模塊的所有進程。沒有指定模塊時,將顯示所有模塊的所有進程。不能與/svc或/v參數一起使用。
/svc 無間斷地列出每個進程的所有服務信息。當/fo參數設置爲TABLE時有效。不能與/m或/v參數一起使用。
/v 指定顯示在輸出結果中的詳細任務信息。不能與/svc或/m參數一起使用。
/? 在命令提示符顯示幫助。
【注意】 Tasklist可以替代TList工具。
示例1:查看進程的PID或進程名
在命令提示符中運行命令:Tasklist,回車,運行結果如圖3-28所示。
 |
| 圖3-28 查看進程的PID |
運行結果顯示運行在本地或遠程計算機上的所有任務的應用程序和服務列表,帶有進程ID(PID)及圖像名。
示例2:顯示用戶的進程依附信息
在命令行模式下輸入:
Tasklist /m
回車,運行後的結果顯示如圖3-29所示。使用該命令,顯示系統中正在運行的進程信息,同步可以看到該進程目前依附的其他模塊。
示例3:顯示調用指定動態連接庫的進程
在命令提示符下輸入如下命令:
Tasklist /m ntdll.dll
回車,運行後的結果顯示如圖3-30所示。使用該命令,可以看到動態連接庫ntdll.dll正在使用的進程名稱。
 |
| 圖3-29 用戶的進程依附信息 |
 |
| 圖3-30 調用指定動態連接庫的進程 |
示例4:查看Svchost服務正在運行的進程
在命令提示符下輸入如下命令:
Tasklist /svc /FI“imagename eq svchost.exe”
回車,運行後的結果顯示如圖3-31所示。Windows Server 2003的Svchost.exe負責調動各種服務,使用此命令可以看到Svchost到底運行了哪些服務,是否包括不知名的木馬程序在系統中默默運行。
示例5:查看以進程Wbem*開頭的進程
在命令提示符下輸入如下命令:
Tasklist /m wbem*
回車,運行後的結果顯示如圖3-32所示。使用該命令,可以列出系統中以wbem開頭的進程名。
 |
| 圖3-31 Svchost服務正在運行的進程 |
 |
| 圖3-32 Svchost服務正在運行的進程 |
 |
| 圖3-27 進程列表 |
/u Domain/User 運行具有由User或Domain/User. 指定用戶的賬戶權限命令。默認值是當前登錄發佈命令的計算機的用戶權限。
/p Password 指定用戶賬戶的密碼,該用戶賬戶在/u參數中指定。
/fo {TABLE|LIST|CSV} 指定輸出所用的格式。有效值爲TABLE、LIST和CSV。輸出的默認格式爲TABLE。
/nh 取消輸出結果中的列標題。當/fo參數設置爲TABLE或CSV時有效。
/fi FilterName 指定該查詢包括或不包括的進程類型。下表列出了有效的篩選器名稱、運算符和值。
表3-2 有效的篩選器名稱、運算符和值
|
名 稱 |
運 算 符 |
值 |
|
Hostname |
eq, ne |
任何有效字符串 |
|
Status |
eq, ne |
RUNNING|NOT RESPONDING |
|
Imagename |
eq, ne |
任何有效字符串 |
|
PID |
eg, ne, gt, lt, ge, le |
任何有效的正整數 |
|
Session |
eg, ne, gt, lt, ge, le |
任何有效的會話數 |
|
CPUTime |
eg, ne, gt, lt, ge, le |
hh:mm:ss格式的有效時間。mm參數和ss參數應在0到59之間,hh 參數可以是任何一個有效的無符號的數值 |
|
Memusage |
eg, ne, gt, lt, ge, le |
任何有效的整數 |
|
Username |
eq, ne |
任何有效的用戶名 ([Domain/]User) |
|
Services |
eq, ne |
任何有效字符串 |
|
Windowtitle |
eq, ne |
任何有效字符串 |
 |
| 圖3-21 “Windows安全”對話框 |
單擊“任務管理器”按鈕,顯示圖3-22所示“Windows任務管理器”窗口。在“應用程序”選項卡顯示正在運行的應用程序。在列表框中選擇欲管理的應用程序,單擊“結束任務”、“切換至”或“新任務”按鈕,可結束、切換或者啓動程序。當某個應用程序不再響應時,強制結束任務是一種不錯的選擇。
 |
| 圖3-22 “Windows任務管理器”窗口 |
選擇“進程”選項卡(如圖3-23所示)顯示計算機上正在運行的進程的相關信息,可以顯示關於CPU和內存使用情況、頁面錯誤、句柄計數以及其他一些參數的信息。在列表框中選擇欲中止的進程,單擊“結束進程”按鈕,可強制結束該進程。當某個進程或應用程序不再響應時,可以強制結束進程,以使其他應用程序或進程正常運行。
選擇“性能”選項卡(如圖3-24所示)顯示了計算機性能的動態概述,其中包括:CPU和內存使用情況的圖表;計算機上正在運行的句柄、線程和進程的總數;物理內存、核心內存和內存使用的總數(KB)。
 |
| 圖3-23 “進程”選項卡 |
 |
| 圖3-24 “性能”選項卡 |
選擇“聯網”選項卡(如圖3-25所示)以圖形化方式顯示正在計算機上運行的網絡的狀態,可以查看網絡連接的質量和可用性,無論連接到一個還是多個網絡上。
選擇“用戶”選項卡(如圖3-26所示)顯示了可以訪問該計算機的用戶,以及會話的狀態與名稱。“客戶端名”指定了使用該會話的客戶端計算機的名稱(如果適用)。“會話”爲我們提供了一個用來執行任務(如向另一個用戶發送消息,或連接到另一個用戶會話)的名稱。單擊“斷開”、“註銷”或“發送信息”按鈕,可以強制斷開用戶的連接、註銷用戶,或向該用戶發送信息。
 |
| 圖3-25 “聯網”選項卡 |
 |
| 圖3-26 “用戶”選項卡 |
|
資 源 |
對象/計數器 |
建議的閾值 |
注 釋 |
|
磁盤 |
Physical Disk/% Free Space Logical Disk/% Free Space |
15% |
|
|
磁盤 |
Physical Disk/% Disk Time Logical Disk/% Disk Time |
90% |
|
|
磁盤 |
Physical Disk/Disk Reads/sec、 |
取決於製造商的規格 |
檢查磁盤的指定傳送速度,以驗證此速度沒有超出規格。通常,Ultra Wide SCSI磁盤每秒可以處理50到70次I/O操作。請注意,無論I/O是順序的還是隨機的,都會對磁盤的每秒讀寫速率產生很大影響 |
|
磁盤 |
Physical Disk/Current Disk |
主軸數加2 |
這是即時計數器;觀察在多個間隔上的值。對於隨時間變化的平均值,請使用Physical Disk/ Avg.Disk Queue Length |
|
內存 |
Memory/Available Bytes |
對於具有較大內存的 |
考察內存使用情況並在需要時添加內存 |
|
內存 |
Memory/Pages/sec |
n pages/sec per pagefile |
研究頁交換活動。注意進入具有頁面文件的磁盤的I/O 數量 |
|
頁面文件 |
Paging File/% Usage |
70%以上 |
與Available Bytes和Pages/sec一起復查該值,瞭解計算機的頁交換活動 |
|
處理器 |
Processor/% Processor Time |
85% |
查找佔用處理器時間高百分比的進程。升級到更快的處理器或安裝其他處理器 |
|
處理器 |
Processor/Interrupts/sec |
取決於處理器;每秒 |
此計數器的值明顯增加,而系統活動沒有相應的增加則表明存在硬件問題。確定引起中斷的網絡適配器、磁盤或其他硬件 |
|
服務器 |
Server/Bytes Total/sec |
|
如果所有服務器的Bytes Total/sec與網絡的最大傳送速度幾乎相等,則可能需要將網絡分段 |
|
服務器 |
Server/Work Item Shortages |
3 |
如果值達到該閾值,請考慮將DWORD項InitWorkItems(在啓動期間分配給處理器的工作項數)或者 MaxWorkItems(服務器可以分配的接收緩衝區的最大數)添加到註冊表(在HKEY_LOCAL_MACHINE/SYSTEM /Current ControlSet/ Services /LanmanServer/Parameters下面)。項InitWorkItems 的範圍可以是從1到512,同時MaxWorkItems 的範圍可以是從1到65 535。以InitWorkItems的任何值以及MaxWorkItems的值4 096開始,並一直加倍這些值,直到Server/Work Item Shortages閾值低於 3 |
|
服務器 |
Server/Pool Paged Peak |
物理RAM的數量 |
此值是最大頁面文件大小和物理內存數量的指示器 |
|
服務器 |
Server Work Queues |
4 |
如果值到達此閾值,則可能存在處理器瓶頸。這是即時計數器;觀察在多個間隔上的值 |
|
多個處理器 |
System/Processor Queue Length |
2 |
這是即時計數器;觀察在多個間隔上的值 |
 |
| 圖3-14 警報詳細信息 |
 |
| 圖3-15 “新建警報設置”對話框 |
在“名稱”文本框中輸入警報名稱,然後單擊“確定”按鈕,顯示圖3-16所示警報對話框。在“常規”選項卡中可定義警報的註釋,以及計數器、警報閾值和採樣間隔。
單擊“添加”按鈕,顯示圖3-17所示“添加計數器”對話框,用於選擇和添加觸發警報的對象。
 |
| 圖3-16 警報對話框 |
 |
| 圖3-17 “添加計數器”對話框 |
選擇欲添加的對象後,單擊“關閉”按鈕,返回警報對話框,設置觸發警報的數值,以及掃描間隔和方式(如圖3-18所示)。
選擇“操作”選項卡(如圖3-19所示),定義當計數器數據觸發警報時將發生的操作。可直接將事件記入日誌,或者向指定的計算機發送信息,甚至運行某個命令或應用程序。通常情況下,建議選中“發送網絡信息到”複選框,並輸入系統管理員的計算機名稱,從而及時獲得警告信息。
 |
| 圖3-18 警報對話框 |
 |
| 圖3-19 “操作”選項卡 |
選擇“計劃”選項卡(如圖3-20所示),定義服務開始掃描警報的時間。
 |
| 圖3-20 “計劃”選項卡 |
