Книга "Недокументированные возможности Windows XP. Библиотека пользователя", Глава 3. Консоль управления Microsoft. Часть 2. Оснастки Windows XP: Журналы и оповещения производительности

Данная оснастка предназначена для выполнения наблюдения за работой устройств, установленных на компьютере. Она содержит в себе большой набор функций, что является как ее несомненным плюсом, так и большим минусом. Минус заключается в довольно сложном механизме работы с оснасткой, который может сначала отпугнуть пользователя операционной системы Windows XP. Данная оснастка входит в состав стандартной консоли perfmon.msc, работу с которой мы и рассмотрим. При этом оснастка ЖУРНАЛЫ И ОПОВЕЩЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ имеет GUID-номер {7478EF61-8C46-11D1-8D99-00A0C913CAD4}, после запрещения которого, доступ к оснастке будет заблокирован. Также в консоль ПРОИЗВОДИТЕЛЬНОСТЬ входит ActiveX-объект СИСТЕМНЫЙ МОНИТОР, отображение которого можно запретить с помощью GUID-номера {C96401CF-0E17-11D3-885B-00C04F72C717}.

Чаще всего консоль ПРОИЗВОДИТЕЛЬНОСТЬ используется для определения устройств компьютера, которые пора проапгрейдить, достигнув тем самым максимального повышения производительности от покупки нового устройства. Именно с этой точки зрения мы и рассмотрим данную консоль.

После ввода в диалоговом окне ЗАПУСК ПРОГРАММ команды perfmon.msc, консоль управления Microsoft обращается к содержимому ветвей реестра HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\SYSTEMMONITOR и HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\PERFLIB, параметры которых мы рассмотрим чуть позже. Также после ввода команды perfmon.msc, перед вами отобразится окно консоли ПРОИЗВОДИТЕЛЬНОСТЬ, открытое на ActiveX-объекте СИСТЕМНЫЙ МОНИТОР (рис. 3.17).

Рисунок 1 Рис. 3.17. Окно консоли Производительность

С помощью ActiveX-объекта СИСТЕМНЫЙ МОНИТОР можно проследить работу какого-либо оборудования, установленного на компьютере, в реальном режиме времени. При этом существует множество параметров работы оборудования, которые можно просмотреть (с помощью так называемых счетчиков).

Окно системного монитора состоит из трех полей — поля панели инструментов системного монитора (расположено вверху консоли и содержит набор кнопок быстрого доступа), поле для отображения результатов работы устройств (среднее поле) и поле счетчиков, за которыми выполняется слежение (расположено внизу консоли).

Давайте для примера попробуем добавить счетчики производительности. Для начала удалите все используемые в данный момент счетчики. Для этого нужно выделить счетчик в поле счетчиков и нажать на кнопку DELETE. После этого вызовите контекстное меню в любом из полей системного монитора и выберите команду ДОБАВИТЬ СЧЕТЧИКИ. Это приведет к отображению диалогового окна, приведенного на рисунке 3.18.

Рисунок 2 Рис. 3.18. Окно добавления счетчиков

С помощью данного окна можно определить, счетчики какого компьютера будут подключаться к консоли (локального или любого другого, подключенного к сети), определить устройство (список ОБЪЕКТ), за работой которого мы будет следить, а также определить сами счетчики (переключатель ВЫБРАТЬ СЧЕТЧИКИ ИЗ СПИСКА) параметров работы устройства, которые будут отслеживаться. После выбора счетчика, в правом окне можно выбрать экземпляр устройства, работа которого будет отслеживаться. На рисунке 3.18 отображено только два экземпляра устройства — _Total и 0. Экземпляр 0 определяет первый процессор, установленный в системе, а экземпляр _Total определяет слежение за всеми процессорами, установленными на компьютере (при этом будут выводиться среднее арифметическое данных по работе процессоров). Если на компьютере установлен только один процессор, тогда экземпляр _Total эквивалентен экземпляру 0, но если бы компьютер содержал бы большее количество установленных процессоров, тогда присутствовали бы и другие экземпляры устройств: 1 для второго процессора, 2 для третьего процессора и т.д.

Если значение параметра DWORD-типа Disable Performance Counters, расположенного в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib, будет равно 1, тогда будет запрещено добавление счетчиков, а также работа с ActiveX-объектом Системный монитор. В случае установки данного параметра равным 1 список счетчиков просто-напросто будет пуст. Аналогичного результат можно добиться, если присвоить параметру DWORD-типа той же ветви реестра Updating значение, равное 0.

Название экземпляра _Total можно изменить на любое другое. Для этого применяется параметр строкового типа TotalInstanceName, расположенный в ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib. При этом следует учитывать, что все счетчики, загруженные до изменения значения параметра TotalInstanceName, работать не будут.

Если просмотреть список объектов, за которыми можно следить, а также количество различных счетчиков, реализованных для них, можно прийти в ужас. Что же из этого многообразия выбрать? Частично решить этот вопрос вам поможет кнопка ОБЪЯСНЕНИЕ, после выбора счетчика и нажатия на которую перед вами отобразится диалоговое окно с описанием того, за чем же следит данный счетчик. Также вам могут помочь советы профессионалов, которые предлагают следить за следующими компонентами (если необходимо определить общий уровень производительности компьютера или устройства, которые пора проапгрейдить) компьютера: ПРОЦЕССОР, ПАМЯТЬ, СИСТЕМА и ФИЗИЧЕСКИЙ ДИСК. Давайте вкратце рассмотрим наиболее интересные счетчики данных устройств.

В любом случае, мы не будем рассматривать все объекты, счетчики которых можно использовать, так как количество объектов на различных компьютерах может быть разное. Это связано с тем, что любая служба может добавить свои собственные счетчики. Для этого достаточно в параметре строкового типа Library указать библиотеку, содержащую функции работы с новыми счетчиками. Данный параметр расположен в подразделе Performance ветви реестра, содержащей сведения о данной службе (на страницах книги уже несколько раз упоминалось, что настройки служб содержаться в отдельных подразделах ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services). Также можно удалить возможность работы со счетчиками данного объекта, просто удалив подраздел Performance (или переименовав его). Но можно поступить и намного проще — просто запретить работу счетчиков данного объекта. Для этого необходимо в подразделе Performance данной службы создать параметр DWORD-типа Disable Performance Counters и присвоить ему значение 1.

Основные параметры подраздела Performance не интересны и содержат названия функций библиотеки для работы со счетчиками.

Для процессора, это следующие счетчики.

% загруженности процессора В зависимости от экземпляра устройства, определяет процент загруженности конкретного процессора, или всех процессоров, установленных на компьютере. Аналогичную информацию можно просмотреть и в диспетчере задач Windows (на вкладке БЫСТРОДЕЙСТВИЕ). Если процессор постоянно загружен на 70-90%, значит, пора покупать более мощный процессор.

% времени прерываний В зависимости от экземпляра устройства, определяет процент загруженности конкретного процессора, или всех процессоров, установленных на компьютере, в течение которого процессор обрабатывает различные аппаратные прерывания. Если показания данного счетчика колеблются в пределах 25-35%, также стоит подумать о более мощном процессоре.

Для памяти это следующие счетчики.

Обмен страниц в секунду Данный счетчик определяет число страниц, считываемых или записываемых на диск в течение одной секунды. Как правило, страницы записываются на диск в том случае, если оперативная память компьютера исчерпана и системе приходится использовать файл подкачки. То есть, чем меньше показания данного счетчика, тем лучше. В случае большого объема обмена страниц (имеется в виду обмен страницами в течение всего сеанса времени работы пользователя, а не временный обмен, который может быть ассоциирован записью информации на диск (а следовательно, не отображать реальную картину загруженности памяти)), рекомендуется купить дополнительную планку оперативной памяти.

Ошибок страниц в секунду Данный счетчик определяет количество ошибок доступа к оперативной памяти, возникающих при отсутствии в оперативной памяти необходимых данных. Как правило, после выявления ошибки системе приходится обращаться к содержимому жесткого диска за получением необходимой информации и повторного помещения ее в память, что занимает большое количество времени (сравнительно). При показаниях данного счетчика, превышающих значение 5, рекомендуется купить дополнительные планки оперативной памяти.

Доступно байт Данный счетчик определяет количество свободной в данный момент виртуальной памяти. Если показания данного счетчика постоянно колеблются в пределах 10-20 Мбайт, рекомендуется купить дополнительные планки оперативной памяти.

Для физического диска это следующие счетчики.

% активности дисков Данный счетчик определяет процент времени, который жесткий диск тратит на удовлетворения запросов на чтение/запись данных. Если показания данного счетчика долгое время колеблются в районе 80-100%, необходимо подумать над покупкой более быстрого жесткого диска или дополнительного объема оперативной памяти.

Текущая длина очереди диска Данный счетчик определяет количество запросов на выполнение чтения/записи на диск, ожидающих своего выполнения в очереди. Показания счетчика, отображающие больше двух запросов в очереди, уже считаются поводом покупки дополнительной оперативной памяти или более быстрого жесткого диска.

Для системы это следующие счетчики.

Длина очереди процессора Данный счетчик определяет количество процессов, ожидающих своего выполнения в очереди процессов. Показания счетчика, отображающие больше двух процессов, уже считаются поводом покупки более производительного процессора.

Названия счетчиков, а также описания их работы на разных компьютерах могут отличаться. Это связано с тем, что сведения о названиях счетчиков и их описания хранятся не в файле библиотеки, а непосредственно в реестре. Для их хранения применяются два параметра типа REG_MULTI_SZ ветви реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib\019 (для англоязычной версии операционной системы используется конечный подраздел 009). Данная ветвь реестра содержит в себе два параметра — Counter и Help. Первый из них определяет названия счетчиков, а второй — их описание.

Для примера давайте загрузим в консоль следующие счетчики: % времени прерываний для процессора, Ошибок страниц в секунду для памяти, % активности дисков и Текущая длина очереди диска для физического диска, а также Длина очереди процессора для процессора. Чтобы загрузить счетчик, необходимо выделить его и нажать на кнопку ДОБАВИТЬ. После этого счетчик будет загружен, но диалог ДОБАВИТЬ СЧЕТЧИКИ закрыт не будет. После того, как вы добавите все необходимые счетчики, просто нажмите на кнопку ЗАКРЫТЬ, чтобы перейти к окну консоли.

После того, как вы нажмете на кнопку ЗАКРЫТЬ в диалоге ДОБАВИТЬ СЧЕТЧИКИ, перед вами предстанет консоль ПРОИЗВОДИТЕЛЬНОСТЬ, в которую будут загружены все указанные вами счетчики. При этом, по умолчанию будет использоваться способ отображения показаний счетчика в виде графика (рис. 3.19).

Рисунок 3 Рис. 3.19. Способ отображения показаний счетчиков в виде графика

При просмотре небольшого количества счетчиков этот способ отображения наиболее оптимален (заметьте, что под графиком отображаются поля ПОСЛЕДНИЙ, СРЕДНИЙ, МИНИМУМ, МАКСИМУМ и ДЛИТЕЛЬНОСТЬ, в которых отображаются общие показания выделенного в данный момент счетчика). Но при просмотре показаний большого количества счетчиков, да еще и с огромным разбросом по шкале графика, слежение за показаниями счетчиков может быть затруднительно. Поэтому существует возможность применения вместо вида графика, вид гистограммы или отчета показаний счетчиков. Для изменения вида показаний счетчиков используются три кнопки панели инструментов системного монитора.

Рисунок 4 Отобразить показания счетчиков в виде отчета. Данный вид может быть оптимален при просмотре показаний большого количества счетчиков, описывающих большое количество оборудования, расположенного на разных компьютерах сети.

Рисунок 5 Отобразить показания счетчиков в виде гистограммы. Данный вид может быть оптимален при просмотре показаний большого количества счетчиков, описывающих большое количество оборудования, расположенного на локальном компьютере.

Рисунок 6 Отобразить показания счетчиков в виде графика. Данный вид может быть оптимален при просмотре показаний небольшого количества счетчиков.

Также существует возможность изменения цвета, которым отображается конкретный счетчик. Для этого необходимо в контекстном меню данного счетчика выбрать команду СВОЙСТВА. После этого будет открыто диалоговое окно СВОЙСТВА: СИСТЕМНЫЙ МОНИТОР и отображена вкладка данного диалога ДАННЫЕ. Данная вкладка содержит в себе список ЦВЕТ, с помощью которого и изменяется цвет отображения данного счетчика.

Еще одной интересной вкладкой диалога СВОЙСТВА: СИСТЕМНЫЙ МОНИТОР является вкладка ИСТОЧНИК, с помощью которой можно определить источник показаний счетчиков, отображаемых системным монитором. По умолчанию используются текущие показания счетчиков, но существует возможность загрузки в системный монитор показаний счетчиков, описанных в файле журнала или базе данных. Возможно, пока что данные возможности системного монитора вам будут непонятны, поэтому рассматривать их мы не будем. Вместо этого мы закончим рассказ об ActiveX-объекте СИСТЕМНЫЙ МОНИТОР и прейдем к рассмотрению оснастки ЖУРНАЛЫ И ОПОВЕЩЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ, ведь именно с помощью этой оснастки и создаются файлы журналов показаний счетчиков или базы данных SQL, которые и используются на вкладке ИСТОЧНИК диалога СВОЙСТВА: СИСТЕМНЫЙ МОНИТОР как возможные источники показаний счетчиков для работы системного монитора.

Несмотря на то, что просмотр счетчиков в реальном времени является хорошим способом определения производительности компьютера, он имеет ряд недостатков. Главным из которых является то, что при просмотре счетчиков, пользователь, как правило, больше ничего на компьютере не делает (не играет, не печатает, то есть, компьютер просто простаивает), поэтому некоторые из счетчиков в этот момент могут быть просто не актуальны. Решить эту проблему можно с помощью оснастки ЖУРНАЛЫ И ОПОВЕЩЕНИЯ ПРОИЗВОДИТЕЛЬНОСТИ. С помощью данной оснастки можно настроить такие функции компьютера, как возможность ведения журналов счетчиков, журналов трассировки и оповещения о каком-либо событии.

Журналы счетчиков Именно с помощью журналов счетчиков и решается проблема просмотра счетчиков в реальном времени. С помощью данных журналов можно определить время, начиная с которого компьютер будет записывать показания счетчиков в журнал, а также время, после которого запись в журнал будет прекращена. После этого можно продолжить повседневную работу с компьютером, а уже в конце дня просто загрузить созданный журнал счетчиков в системный монитор, чтобы просмотреть показания счетчиков.

По умолчанию существует уже созданный журнал счетчиков, называемый ОБЗОР СИСТЕМЫ. Это пример журнала, на основе которого можно определить саму суть создания журнала счетчиков. Также его можно запустить или остановить, то есть, данный журнал является полнофункциональным, но его изменение с помощью консоли ПРОИЗВОДИТЕЛЬНОСТЬ запрещено, поэтому ниже мы рассмотрим некоторых параметры реестра, с помощью которых можно отредактировать данный журнал

Мы же с вами для примера создадим свой собственный журнал счетчиков.

Информация о всех журналах счетчиков хранится в реестре. Для этого предназначена ветвь реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SysmonLog\Log Queries. Данная ветвь реестра принадлежит службе Журналы и оповещения производительности, запускаемой как сетевая служба. То есть, если данная служба будет остановлена, тогда нельзя будет работать с журналами счетчиков. Каждый журнал счетчиков создает в приведенной ветви реестра свой собственный подраздел, имеющий название в формате GUID-номера. Например, для журнала счетчиков Обзор системы используется подраздел {123a660c-c5ce-469a-ad49-7dee9de9376c}.

Для создания нового журнала, необходимо в контекстном меню элемента ЖУРНАЛЫ СЧЕТЧИКОВ выбрать команду НОВЫЕ ПАРАМЕТРЫ ЖУРНАЛА. После этого перед вами отобразится диалоговое окно для ввода имени журнала, после чего перед вами отобразится диалоговое окно параметров журнала, изображенное на рисунке 3.20.

Рисунок 7 Рис. 3.20. Параметры создания нового журнала счетчиков

С помощью вкладки ОБЩИЕ можно добавить счетчики, показания которых будут заноситься в журнал производительности (кнопка ДОБАВИТЬ СЧЕТЧИКИ…), определить интервал времени, с которым показания счетчиков будут сниматься и заносится в журнал (поле СНИМАТЬ ПОКАЗАНИЯ КАЖДЫЕ:), а также указать учетную запись пользователя, от имени которого будет запускаться данный журнал (поле ОТ ИМЕНИ). Работа с диалогом, отображаемым после нажатия на кнопку ДОБАВИТЬ СЧЕТЧИКИ… ничем не отличатся от работы с уже рассмотренным нами диалогом ДОБАВИТЬ СЧЕТЧИКИ. Также для добавления счетчиков можно воспользоваться кнопкой ДОБАВИТЬ ОБЪЕКТЫ… в этом случае будут добавлены все счетчики какого-либо объекта. Также стоит взглянуть на поле ТЕКУЩИЙ ФАЙЛ ЖУРНАЛА. На данной вкладке его запрещено редактировать, хотя на других вкладках можно будет отредактировать как путь к журналу, так и его имя. Тем не менее, благодаря реестру существует еще одна интересная возможность настройки создания журналов — определения пути к папке, в которую будут помещаться журналы счетчиков по умолчанию. Если вам для всех создаваемых журналов приходится определять другой каталог (по умолчанию для хранения журналов счетчиков используется системных диск) хранения, тогда предлагаю воспользоваться параметром строкового типа DEFAULTLOGFILEFOLDER, расположенным в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\SYSMONLOG.

На вкладке ФАЙЛЫ ЖУРНАЛА (пока вы не укажите хотя бы один счетчик для снятия показаний, вам будет запрещено переходить на другие вкладки диалога параметров) можно настроить сам журнал счетчиков. Главным образом можно настроить его имя и каталог для хранения (в диалоге, вызываемом после нажатия на кнопку НАСТРОИТЬ…), а также определить индекс, добавляемый к создаваемым файлам (флажок ИМЕНА ФАЙЛОВ ОКАНЧИВАЮТСЯ НА). Также на данной вкладке можно определить тип создаваемого журнала. Возможны следующие типы журналов:

• ДВОИЧНЫЙ ФАЙЛ — используется по умолчанию и является оптимальным способом создания файлов журналов, если их необходимо просматривать только в системном мониторе;
• ДВОИЧНЫЙ ЦИКЛИЧЕСКИЙ ФАЙЛ — отличается от предыдущего лишь тем, что при достижении конца файла журнала, его содержимое будет перезаписываться заново;
• ТЕКСТОВЫЙ ФАЙЛ — существует два вида текстовых файлов: РАЗДЕЛИТЬ — ЗАПЯТАЯ и РАЗДЕЛИТЕЛЬ — ТАБУЛЯЦИЯ. Различия между ними описаны в самих названиях файлов. Плюсом текстовых файлов является возможность просмотра их содержимого с помощью таких программ, как Excel или даже Блокнот. Минусом же является меньшая скорость обработки данных при просмотре содержимого файлов журналов;
• БАЗА ДАННЫХ SQL — позволяет заносить показания счетчиков в общую базу данных SQL;

На вкладке РАСПИСАНИЕ можно задать способ запуска и остановки слежения за показаниями счетчиков, а также команду, которая будет выполняться при остановке снятия показаний счетчиков. При этом можно указать время запуска и остановки, либо указать запуск и остановку счетчиков вручную. Если будет выбран режим ВРУЧНУЮ, тогда для запуска и остановки снятия показаний счетчиков, необходимо будет воспользоваться контекстным меню созданного вами журнала счетчиков, выбрав, соответственно, команду ЗАПУСК или ОСТАНОВКА (не самого файла журнала счетчиков, а созданного элемента журнала счетчиков в консоли ПРОИЗВОДИТЕЛЬНОСТЬ).

Следует всегда внимательно относиться к возможности запуска различных программ после выполнения конкретных действий. Особенно в том случае, если программа будет запускаться от имени администратора. По крайней мере, запускаемая программа всегда должна находиться в каталоге, изменение содержимого которого запрещено пользователям системы, иначе ничто им не помешает заменить файл запускаемой программы на любой другой, реализовав тем самым метод взлома системы через посредника.

Также создать журнал счетчиков можно с помощью командой строки. Для этого применяется команда logman create counter. На страницах этой книги не будет описана работа с этой командой, тем не менее, работа с ней не представляет труда, если вы знаете, как создаются журналы счетчиков с помощью консоли Производительность. Для просмотра опций данной команды, введите в командной строке команду logman create counter /?.

После того, как вы создадите журнал счетчиков, он отобразится в том же списке, что и журнал ОБЗОР СИСТЕМЫ. При этом значок напротив журнала счетчиков будет красного цвета, что говорит о том, что в данный момент данный журнал остановлен. После запуска журнала счетчиков, значок напротив него станет зеленого цвета. Но допустим, что у нас уже есть файл показаний счетчика, то есть, наш журнал счетчиков был запущен и остановлен (файл показаний счетчиков должен содержать больше двух показаний счетчиков, иначе его нельзя будет использовать, то есть, по умолчанию показания должны сниматься как минимум 45 секунд). Что же теперь делать с созданным файлом показаний счетчиков? Во-первых, можно указать путь к нему на вкладке ИСТОЧНИК рассмотренного нами диалога СВОЙСТВА: СИСТЕМНЫЙ МОНИТОР. А можно воспользоваться командой СОХРАНИТЬ ПАРАМЕТРЫ КАК… из контекстного меню нашего журнала счетчиков. С помощью данной команды можно будет создать html-файл, содержащий в себе ActiveX-объект СИСТЕМНЫЙ МОНИТОР. Запуск этого html-файла приведет нас к уже знакомому окну СИСТЕМНЫЙ МОНИТОР, которое уже по умолчанию будет использовать для своей работы показания счетчиков, хранящиеся в созданном с помощью данного журнала счетчиков файле показаний счетчиков.

А теперь давайте рассмотрим параметры реестра, которые используются для хранения параметров журналов счетчиков. Как было сказано выше, все журналы счетчиков имеют свой собственный подраздел в ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\SYSMONLOG\LOG QUERIES. Например, для журнала счетчиков ОБЗОР СИСТЕМЫ, параметры содержатся в подразделе {123A660C-C5CE-469A-AD49-7DEE9DE9376C} данной ветви реестра. Данный подраздел может содержать следующие параметры (доступ с помощью реестра к ним разрешен, хотя изменение с помощью консоли ПРОИЗВОДИТЕЛЬНОСТЬ запрещено).

• COLLECTION NAME — значение данного параметра строкового типа определяет имя журнала счетчиков. Значение данного параметра переопределяется параметром строкового типа COLLECTION NAME INDIRECT.
• COUNTER LIST — значение данного параметра типа REG_MULTI_SZ определяет названия счетчиков, показания которых будут считываться.
• CREATE NEW FILE — если значение данного параметра DWORD-типа равно 1, тогда при следующем запуске журнала счетчиков, будет создан новый файл (а не переписан уже существующий).
• CURRENT LOG FILE NAME — значение данного параметра строкового типа определяет путь к файлу (и его имя), в который будут записываться показания счетчиков. При этом значение данного параметра состоит из значений двух других параметров строкового типа — LOG FILE FOLDER и LOG FILE BASE NAME. Первый из них определяет путь к каталогу, содержащему файл счетчиков, а второй параметр определяет название файла.
• LOG FILE MAX SIZE — значение данного параметра DWORD-типа определяет максимальный размер создаваемого файла.

Журналы трассировки Журналы трассировки являются разновидностью журналов счетчиков (более того, они описываются в той же ветви реестра, что и журналы счетчиков), собирающей наиболее полные сведения о тех или иных объектах системы. Применять журналы трассировки, как правило, следует только при тестировании того или иного объекта системы, так как ведение журнала трассировки требует от компьютера большого объема системных ресурсов.

По умолчанию не существует ни одного примера создания журнала трассировки, поэтому давайте попробуем создать свой собственный журнал. Для этого необходимо из контекстного меню элемента ЖУРНАЛ ТРАССИРОВКИ выбрать команду НОВЫЕ ПАРАМЕТРЫ ЖУРНАЛА…. После этого система также попросит ввести имя создаваемого журнала трассировки (так как журналы трассировки хранятся в той же ветви реестра, что и журналы счетчиков, запрещено давать новым журналам трассировки имена, уже используемые журналами счетчиков). После ввода имени перед вами отобразится диалоговое окно параметров нового журнала трассировки. Скажем сразу, что данный диалог содержит в себе вкладки ФАЙЛЫ ЖУРНАЛА и РАСПИСАНИЕ, содержимое которых полностью аналогично содержимому данных вкладок для создания журнала счетчиков, поэтому рассматривать эти вкладки мы не будем.

Если при создании нового журнала счетчиков, на вкладке Расписание по умолчанию указано, что данный журнал запускается вручную, то при создании журнала трассировки, данный журнал будет запускаться ежедневно в то время, когда вы его создали.

Также диалог параметров нового журнала трассировки содержит в себе вкладку ОБЩИЕ. С помощью данной вкладки можно указать поставщиков возможности трассировки (чем-то напоминают несколько совмещенных вместе объектов журналов счетчиков). При этом, существует возможность использования как системных поставщиков, так и поставщиков, устанавливаемых вместе с дополнительными службами. Чтобы выбрать системного поставщика, нужно установить переключатель СОБЫТИЯ, ПРОТОКОЛИРУЕМЫЕ СИСТЕМНЫМ ПОСТАВЩИКОМ. После этого станет активным ряд флажков, с помощью которых можно указать те из событий, протоколирование которых будет выполняться.

Как правило, журналы трассировки могут запускаться только от имени администратора, поэтому на вкладке Общие необходимо указать запуск от имени администратора и пароль для запуска.

Также в диалоге параметров журнала трассировки присутствует дополнительная вкладка, которая называется ДОПОЛНИТЕЛЬНО. С помощью данной вкладки можно определить размер буферов трассировки и их количество. Все дело в том, что данные трассировки сначала записываются в буфер трассировки, а потом уже, когда буфер будет заполнен, записываются в файл трассировки.

Но чем же, с точки зрения реестра, отличаются журналы трассировки от журналов счетчиков? Как оказалось, они отличаются значением всего одного параметра. Если значение параметра DWORD-типа LOG TYPE, равно 0, то данный журнал является журналом счетчиков, а если значение параметра LOG TYPE равно 1, тогда данный журнал является журналом трассировки. Например, если значение параметра LOG TYPE ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\SYSMONLOG\LOG QUERIES\{123A660C-C5CE-469A-AD49-7DEE9DE9376C}, будет равен 1, тогда стандартный журнал ОБЗОР СИСТЕМЫ станет журналом трассировки, а не журналом счетчиков. Если значение параметра Log Type будет равно 0хffffffff, тогда данный журнал будет скрыт.

Также для журналов трассировки могут применяться следующие дополнительные параметры реестра.

• TRACE BUFFER FLUSH INTERVAL — значение данного параметра DWORD-типа определяет интервал времени в секундах, с которым будет выполняться сбрасывание содержимого буферов в файл трассировки.
• TRACE BUFFER MIN COUNT — значение данного параметра DWORD-типа определяет минимальное количество буферов трассировки, которое будет использоваться в любом случае.
• TRACE BUFFER MAX COUNT — значение данного параметра DWORD-типа определяет максимальное количество буферов трассировки. Если количества буферов, определенного в параметре TRACE BUFFER MIN COUNT, не хватает для буферизации данных, тогда будут созданны дополнительные буферы (общее количество данных буферов не должно быть больше, чем значение параметра TRACE BUFFER MAX COUNT).
• TRACE BUFFER SIZE — значение данного параметра DWORD-типа определяет размер в килобайтах каждого буфера трассировки.

Оповещения Оповещения, это еще один механизм, работающий на основе показаний счетчиков. С помощью данного механизма можно определить счетчики, показания которых будут сниматься при работе оповещения, а также определить пороги, преодоление которых счетчиками вызовет какое-либо действие.

По умолчанию не существует ни одного оповещения, поэтому, чтобы создать новое оповещение, необходимо воспользоваться контекстным меню элемента ОПОВЕЩЕНИЯ. После выбора команды НОВЫЕ ПАРАМЕТРЫ ОПОВЕЩЕНИЙ, консоль управления Microsoft попросит ввести имя нового оповещения, после чего перед вами отобразится диалоговое окно настройки параметров оповещения.

Данное диалоговое окно содержит в себе знакомые нам вкладки ОБЩИЕ, ДЕЙСТВИЕ и РАСПИСАНИЕ. На вкладке ОБЩИЕ можно указать счетчики, показания которых будут считываться, а также порог, после преодоления которого, произойдут события, указанные на вкладке ДЕЙСТВИЯ. На вкладке ДЕЙСТВИЯ, можно определить, будет ли происходить запись в журнал приложений (оснастка ПРОСМОТР СОБЫТИЙ) при возникновении оповещения, будет ли запускаться один из журналов трассировки или счетчиков, а также определить команду, которая будет выполняться при возникновении оповещения. На вкладке РАСПИСАНИЕ можно задать время, начиная с которого будет запускаться данное оповещение. По умолчанию оповещение будет запускаться сразу же после своего создания.

Настройки оповещений также содержатся в подразделах ветви реестра HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\SYSMONLOG\LOG QUERIES. При этом, значение параметра DWORD-типа LOG TYPE, равное 2, как раз и определяет, что данная ветвь реестра описывает оповещение.

Продолжение следует