计算机培训 Windows2008管理 监控性能

第1章监视和优化性能教学目标：管理Windows日志订阅远程计算机的日志利用任务管理器监控系统资源利用“系统监视器”检测系统性能监控远程计算机性能跟踪检测计算机性能使用Windows系统资源管理器1.1Windows日志Windows日志类别包括以下在早期版本的Windows中可用的日志：应用程序、安全和系统日志。此外还包括两个新的日志：安装程序日志和ForwardedEvents日志。Windows日志用于存储来自旧版应用程序的事件以及适用于整个系统的事件。1.1.1事件日志的类型应用程序日志应用程序日志包含由应用程序或程序记录的事件。例如，数据库程序可在应用程序日志中记录文件错误。程序开发人员决定记录哪些事件。安全日志安全日志包含诸如有效和无效的登录尝试等事件，以及与资源使用相关的事件，如创建、打开或删除文件或其他对象。管理员可以指定在安全日志中记录什么事件。例如，如果已启用登录审核，则对系统的登录尝试将记录在安全日志中。安装程序日志安装程序日志包含与应用程序安装有关的事件。系统日志系统日志包含Windows系统组件记录的事件。例如，在启动过程中加载驱动程序或其他系统组件失败将记录在系统日志中。系统组件所记录的事件类型由Windows预先确定。ForwardedEvents日志ForwardedEvents日志用于存储从远程计算机收集的事件。若要从远程计算机收集事件，必须创建事件订阅。应用程序和服务日志应用程序和服务日志是一种新类别的事件日志。这些日志存储来自单个应用程序或组件的事件，而非可能影响整个系统的事件。此类别的日志包括四个子类型：管理日志、操作日志、分析日志和调试日志。管理日志中的事件尤其受使用事件查看器解决问题的IT专业人士的关注。管理日志中的事件应该提供有关如何对事件做出响应的指南。操作日志中的事件对IT专业人士也很有用，但他们可能需要更多解释。管理日志和调试日志并不那么用户友好。分析日志存储跟踪问题的事件，并且通常记录大量事件。调试日志由开发人员在调试应用程序时使用。默认情况下，分析日志和调试日志都为隐藏和禁用状态。若要使这些日志可见，请按照显示或隐藏分析日志和调试日志中的步骤操作。若要启用这些日志，请按照启用分析日志和调试日志中的步骤操作。1.1.2事件属性来源记录事件的软件，可以是程序名（如“SQLServer”），也可以是系统或大型程序的组件（如驱动程序名）。例如，“Elnkii”表示EtherLinkII驱动程序。事件ID标识特定事件类型的编号。描述的第一行通常包含事件类型的名称。例如，6005是在启动事件日志服务时所发生事件的ID。此类事件的描述的第一行是“事件日志服务已启动”。产品支持代表可以使用事件ID和来源来解决系统问题。级别事件严重性的分类。以下事件严重性级别可能出现在系统和应用程序日志中：信息。指明应用程序或组件发生了更改，如操作成功完成、已创建了资源，或已启动了服务。警告。指明出现的问题可能会影响服务器或导致更严重的问题（如果未采取措施）。错误。指明出现了问题，这可能会影响触发事件的应用程序或组件外部的功能。关键。指明出现了故障，导致触发事件的应用程序或组件可能无法自动恢复。以下事件严重性级别可能出现在安全日志中：SuccessAudit。指明用户权限练习成功。审核失败。指明用户权限练习失败。在事件查看器的正常列表视图中，这些分类都由符号表示。用户事件发生所代表的用户的名称。如果事件实际上是由服务器进程所引起的，则此名称为客户端ID；如果没有发生模仿的情况，则为主ID。如果适用，安全日志项同时包含主ID和模仿ID。当服务器允许一个进程采用另一个进程的安全属性时就会发生模拟的情况。操作代码包含标识活动或应用程序引起事件时正在执行的活动中的点的数字值。例如，初始化或关闭。日志已记录事件的日志的名称。任务类别用于表示事件发行者的子组件或活动。关键字可用于筛选或搜索事件的一组类别或标记。示例包括“网络”、“安全”或“未找到资源”。计算机发生事件的计算机的名称。该计算机名称通常为本地计算机的名称，但是它可能是已转发事件的计算机的名称，或者可能是名称更改之前的本地计算机的名称。日期和时间记录事件的日期和时间。1.1.3自定义视图在早期版本的事件查看器中，可以筛选事件日志中的事件。为创建筛选器，指定了一组用于确定日志中哪些事件可见和哪些事件隐藏的规则。例如，可以指定只有等级值为“错误”或“警告”的事件才应该可见。筛选事件的功能非常关键。只需要重点关注适用于正在调查的问题的那些事件。事件查看器的最新版本将筛选的概念扩展到超出单个事件日志以外。它使您可以创建一组规则，这些规则选择来自所指定源的事件，并只显示来自其属性值满足这些规则的那些源的事件。创建只显示对于特定问题所关注的事件可能会需要很长时间。自定义视图提供了一种保存此工作的方式。创建只显示所关注记录的筛选器后，就可以提供筛选器的名称并将其保存以供以后使用。这个保存的筛选器就是一个自定义视图。示例：显示最近7天，系统出现的错误和警告。点击自定义视图，点击“创建自定义视图”。记录时间选择“最后7天”。事件类型选中“错误”和“警告”。按日志选中“系统”。点击“确定”。输入名称“最近7天的错误和警告”，点击“新建文件夹”，输入“我的视图”。点击“我的视图”下的“最近7天的错误和警告”，您能看到筛选出来的系统产生的错误和警告。1.1.4管理日志事件日志存储在文件中。这些文件的大小都有可以更改的默认最大值。可以通过使用Windows界面或命令行执行此过程。点击“Windows日志”“系统”，点击“属性”，在出现的日志属性对话框，可以设置日志的存储位置，日志最大大小，清除日志，以及达到最大值后，设置日志保留策略。按需要改写事件日志文件已满时继续存储新事件。每个新传入事件替换日志中最旧的事件。日志满时将其存档，不改写事件必要时自动将日志存档。不改写任何事件。不改写事件（手动清除日志）手动而非自动清除日志。点击将“将事件另存为”，将保存类型选择“事件文件”，输入文件名称“2008年10月21日以前的系统日志”，点击保存。点击“打开日志保存的日志”，浏览到“2008年10月21日以前的系统日志”，点击“打开”。如下图，可以看到保存的日志。1.1.5配置计算机以转发和收集事件Windows远程管理(WinRM)是一个远程管理技术，它使得可以通过HTTP网络连接发送WMI命令。通过使用WinRM进行远程服务器管理，可以减少DCOM或者RPC的连接，只需要使用HTTP或者HTTPS就可以了，这对于跨越防火墙管理的场景非常有用（否则需要打开类似TCP135这样的端口）。他们决定WindowsServer2008基于WinRM的事件订阅和WinRS(WindowsRemoteShell)来保证远程服务器运行正常以及在出现问题时能第一时间进行修复。示例：订阅日志必须配置收集计算机（收集器）和每台将从其收集事件的计算机（源），然后才能创建订阅来收集计算机上的事件。配置DCServer服务器订阅FileServer服务器和ServerCore计算机ProfileServer上的日志。步骤：1.以域管理员帐户登录到FileServer，在“命令提示符”下输入“WinRMQuickConfig”，然后按enter键。2.在“进行这些更改吗”提示符下，输入“Y”。3.以域管理员的用户帐户登录ProfileServer。4.在“命令提示符”下输入“WinRMQuickConfig”，然后按enter键。5.在“进行这些更改吗”提示符下，输入“Y”。6.以域管理员的用户帐户登录DCServer。7.点击“开始”“运行”，输入MMC，点击“确定”。8.在打开的MMC对话框中，点击“文件”“添加/删除管理单元”。9.在添加删除管理单元对话框，选中“本地用户和组”，点击“添加”。10.出现的对话框，选择“另一台计算机”，输入“profileServer”，点击“完成”。11.再次点击“添加”，选中“另一台计算机”，输入“FileServer”，点击“完成”。12.点击profileServer计算机的组，双击Eventlogreaders组，点击“添加”。13.在选择用户、计算机或组，点击“对象类型”。14.选中“计算机”，点击“确定”。15.输入“DCServer”，点击“确定”。16.以同样的方式，将计算机帐户DCServer添加到FileServer的Eventlogreaders组。这样DCServer计算机能够订阅FileServer和profileServer的日志。17.以管理员的用户帐户登录DCServer。打开“事件查看器”。18.点击“订阅“，点击“创建订阅”，输入订阅名称“查询FileServer和ProfileServer上的系统错误事件”，目标日志“转发的事件”。19.点击“选择计算机”，在出现的对话框，点击“添加域计算机”，输入ProfileServer和FileServer计算机，点击“确定”。20.点击“选择事件”，记录时间“最后7天”，时间类型“错误”和“警告”，事件日志选中“系统”。点击“确定”。21.点击“Windows日志”“转发的日志”。可以看到订阅的ProfileServer和FileServer计算机上的系统日志。1.2利用任务管理器监控系统资源什么是任务管理器？任务管理器显示计算机上当前正在运行的程序、进程和服务。可以使用任务管理器监视计算机的性能或者关闭没有响应的程序。如果您与网络连接，还可以使用任务管理器查看网络状态以及查看您的网络是如何工作的。如果有多个用户连接到您的计算机，您可以看到谁在连接、他们在做什么，还可以给他们发送消息。1.2.1实时检测内存和CPU的使用情况还可以通过右键单击任务栏上的空白区域打开任务管理器，然后单击“任务管理器”，或者通过按Ctrl+Shift+Esc来打开任务管理器。点击任务管理器的性能标签，可以看到CPU和内存的使用情况。点击“查看”“显示内核时间”。在图标中，处于内核模式的处理器时间用红色显示，它就是应用程序正在使用操作系统服务的时间量。其余的时间用绿色显示，并被称之为“用户模式”。它就是在应用程序的代码内用于运行线程的时间量。点击“资源监视器”，可以看到CPU、硬盘、网络和内存的使用情况。如下图，可以看到那个进程正在读写磁盘。1.2.2退出没有响应的程序如果您计算机上的程序停止响应，则Windows将尝试查找问题并自动解决该问题。如果您不想等待，则可以使用任务管理器自己结束该程序。使用任务管理器自己结束程序可能比等待更快，但是将丢失所有未保存的更改。如果您想保留重要的工作，则等待几分钟，首先让Windows尝试解决该问题。单击打开“任务管理器”。单击“应用程序”选项卡，单击没有响应的程序，然后单击“结束任务”。1.2.3识别与程序关联的进程可以查看应用程序的进程，右击选中的应用程序，点击“转到进程”，可以看到该应用程序对应的进程。也可以通过结束进程来结束应用程序。1.2.4添加监控的列任务管理器进程标签下，可以添加您关心的其它的性能指标。在Windows任务栏管理器的“查看”菜单里有一个“选择列”选项，列出了可选的一些反应进程运行情况的参数。下面列出常用的进程度量数据。PID进程标识符号每个进程都有一个数字号；这个号码与它所指定的进程是完全等价的，就象身分证号码同我们自己的关系一样。CPU使用和时间CPU时间是表明一个进程自启动以来所占用CPU时间的总和；CPU使用是指一个进程占用CPU的百分比。内存使用增量是指进程使用内存的变化。正值表示增加，负值表示减少。内存使用高峰期是指一个进程自启动以来使用的最大内存值。页面错误当软件试图读写标有不存在的虚拟内存地址时，中断发生了。页面错误记录了一个进程必须从硬盘上恢复的次数。虚拟内存大小是给一个进程安排的虚拟内存的大小或地址空间。内存--页面缓冲池系统分配给一个进程的虚拟内存，它是可以分页