服务器监测

如何监测windows服务器的性能

Windows服务器中自带的性能监控工具叫做Performance Monitor；在开始-运行中输入‘perfmon’，然后回车即可运行。Monitor本身也是一个进程，运行起来也要占用一定的系统资源。所以你看到的资源的使用量应该比实际的要稍微高一点。这个工具在帮助管理员判断系统性能瓶颈时非常有用；举个列子来说，今天有个用户抱怨说他们项目组的服务器（这是一台虚拟机）运行起来非常慢，但也不知道具体问题出在什么地方。任务管理器里显示CPU和内存的使用量都不算高，但服务器的相应就是非常慢；Monitor，让其运行一段时间后（因为参考平均值会比较准确），发现average disk queue的值比较高，这就说明物理服务器的硬盘负荷太重，I/O操作的速度跟不上系统的要求。关掉虚拟机，将其转移到另一台硬盘负载比较小的主机上，再打开虚拟机。分析性能情况1、内存泄露判断虚拟内存字节数（VirtualBytes）应该远大于工作集字节数（Workingset），如果两者变化规律相反，比如说工作集增长较快，虚拟内存增长较少，则可能说明出现了内存泄露的情况。对于Workingset、Private Bytes、Available bytes这些计数器，如果在测试期间内数值持续增长，而且测试停止后位置在高水平，则也说明存在内存泄露。Windows资源监控中，如果Process\PrivateBytes计数器和Process\WorkingSet计数器的值在长时间内持续升高，同时Memory\Availablebytes计数器的值持续降低，则很可能存在内存泄漏。2、CPU使用情况一般平均不要超过70%，最大不要超过90%（好：70% 、坏：85%、 很差：90%）。3、tps（每秒处理事务的数量，在SOAPUI中进行统计）一般在10-100，不同应用程序具体值不同。

如何监测windows服务器的性能？

Windows服务器中自带的性能监控工具叫做Performance Monitor；在开始-运行中输入‘perfmon’，然后回车即可运行。Monitor本身也是一个进程，运行起来也要占用一定的系统资源。所以你看到的资源的使用量应该比实际的要稍微高一点。这个工具在帮助管理员判断系统性能瓶颈时非常有用；举个列子来说，今天有个用户抱怨说他们项目组的服务器（这是一台虚拟机）运行起来非常慢，但也不知道具体问题出在什么地方。任务管理器里显示CPU和内存的使用量都不算高，但服务器的相应就是非常慢；Monitor，让其运行一段时间后（因为参考平均值会比较准确），发现average disk queue的值比较高，这就说明物理服务器的硬盘负荷太重，I/O操作的速度跟不上系统的要求。关掉虚拟机，将其转移到另一台硬盘负载比较小的主机上，再打开虚拟机。分析性能情况1、内存泄露判断虚拟内存字节数（VirtualBytes）应该远大于工作集字节数（Workingset），如果两者变化规律相反，比如说工作集增长较快，虚拟内存增长较少，则可能说明出现了内存泄露的情况。对于Workingset、Private Bytes、Available bytes这些计数器，如果在测试期间内数值持续增长，而且测试停止后位置在高水平，则也说明存在内存泄露。Windows资源监控中，如果Process\PrivateBytes计数器和Process\WorkingSet计数器的值在长时间内持续升高，同时Memory\Availablebytes计数器的值持续降低，则很可能存在内存泄漏。2、CPU使用情况一般平均不要超过70%，最大不要超过90%（好：70% 、坏：85%、 很差：90%）。3、tps（每秒处理事务的数量，在SOAPUI中进行统计）一般在10-100，不同应用程序具体值不同。

机房监控的网络设备监控

为保证组织的安全、稳定、高效运行，保证网络设备的良好运行状态和设备使用寿命与安全，实现用户的最大投资效益，就有必要对网络运行环境的电力供应、温度、湿度、漏水、空气含尘量等诸多环境变量，UPS、空调、新风、除尘、除湿等诸多设备运行状态变量，进行24小时实时监测与智能化调节控制，以保证网络运行环境的稳定与网络软硬件资源、设备的安全以及相关信息数据资产的安全，蚁巡运维平台来方便、统一的监控服务器的运行状况运维是一台简单实用的运维设备，只需要接入网络，按向导简单配置，就可以使用。能自动发现需要监控的网络设备、服务器和服务，主动巡检网络设备、服务器和服务的运行状态，发现业务系统隐患，智能预警，保障业务正常运转。最好的办法就是采用机房监控系统，一种可以7*24小时实时监控机房环境的解决方案。通过网络与路由器、服务器、小型机等建立通讯联系，直接从这些网络设备中获取各种信息，通讯过程采用国际上通用的简单网络管理协议（ SNMP ），无需在网络设备上添加任何应用程序，即可监控机房内服务器、路由器、工作站及其他网络设备的工作状态；记录网络设备的启停时间、网络流量- 时间曲线；统计通讯繁忙程度、通讯可靠性；对于服务器非法关机、通讯拥塞或通讯瘫痪等严重事件立即给出报警信息，并弹出该网络设备的相应画面和处理建议，保障网络系统的网络系统的安全可靠性。

机房监控系统的网络设备监控

通过网络与路由器、服务器、小型机等建立通讯联系，直接从这些网络设备中获取各种信息，通讯过程采用国际上通用的简单网络管理协议（ SNMP ），无需在网络设备上添加任何应用程序，即可监控机房内服务器、路由器、工作站及其他网络设备的工作状态；记录网络设备的启停时间、网络流量- 时间曲线；统计通讯繁忙程度、通讯可靠性；对于服务器非法关机、通讯拥塞或通讯瘫痪等严重事件立即给出报警信息，并弹出该网络设备的相应画面和处理建议，保障网络系统的网络系统的安全可靠性。

如何监控和提高IIS的性能

IIS支持HTTP(Hypertext Transfer Protocol，超文本传输协议)，FTP(File Transfer Protocol，文件传输协议)以及SMTP协议，通过使用CGI和ISAPI，IIS可以得到高度的扩展。　　IIS支持与语言无关的脚本编写和组件，通过IIS，开发人员就可以开发新一代动态的，富有魅力的Web站点。IIS不需要开发人员学习新的脚本语言或者编译应用程序，IIS完全支持VBScript，JScript开发软件以及Java，它也支持CGI和WinCGI，以及ISAPI扩展和过滤器。　　IIS响应性极高，同时系统资源的消耗也是最少，IIS的安装，管理和配置都相当简单，这是因为IIS与Windows操作系统紧密的集成在一起，另外，IIS还使用与Windows相同的SAM(Security Accounts Manager，安全性账号管理器)，对于管理员来说，IIS使用诸如Performance Monitor和SNMP(Simple Network Management Protocol，简单网络管理协议)之类的已有管理工具。　　我们要从如下几个方面来讨论：　　1、内存(memory)　　内存性能的好坏直接影响着其他各个组件的运行的性能。在对IIS进行监控时，我们应该重点关注内存资源状况，充足内存能够给web服务器带来更高的性能。 通过对IIS的可视化监控，我们可以直观的了解IIS当前的内存利用率情况和系统内存利用率情况。　　2、解决处理器的瓶颈问题　　应该尽可能的用工具来测试单CPU和多CPU下的IIS的运行情况，并且要避免处理器成为影响服务器性能的瓶颈，因为处理器的性能直接影响到web的客户的响应时间。通过对IIS的可视化监控，我们可以直观的了解IIS当前的CPU利用率情况和系统CPU利用率情况。　　3、网络的i/o　　要尽量的用那些对服务器性能影响小的应用程式来监测IIS的运行情况。5、监测安全机制带来的负载，要能够知道诸如：windows的认证加上SSL这样的安全机制给系统带来的负载有多大。　　摩卡业务服务管理　　摩卡业务服务管理( Mocha Business Service Management，简称Mocha BSM)的应用监控模块，可针对IIS数据库提供可视化监控、故障定位、统计报告等功能。使用Mocha BSM，您可以监控IIS的各种要素的表现，收集和查看实时数据，并可以查看历史上收集到的数据，IIS系统各种参数可以通过图形进行显示，或生成报告。

简述入侵检测的过程

入侵检测技术（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为。是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。误用入侵检测的主要假设是具有能够被精确地按某种方式编码的攻击。通过捕获攻击及重新整理，可确认入侵活动是基于同一弱点进行攻击的入侵方法的变种。误用入侵检测主要的局限性是仅仅可检测已知的弱点．对检测未知的入侵可能用处不大。入侵检测的原理：异常入侵检测原理构筑异常检测原理的入侵检测系统，首先要建立系统或用户的正常行为模式库，不属于该库的行为被视为异常行为。但是，入侵性活动并不总是与异常活动相符合，而是存在下列4种可能性：入侵性非异常；非入侵性且异常；非入侵性非异常；入侵性且异常。设置异常的门槛值不当，往往会导致IDS许多误报警或者漏检的现象。IDS给安全管理员造成了系统安全假象，漏检对于重要的安全系统来说是相当危险的。以上内容参考：百度百科-入侵检测

简述入侵检测常用的四种方法

入侵检测系统所采用的技术可分为特征检测与异常检测两种。1、特征检测特征检测(Signature-baseddetection)又称Misusedetection，这一检测假设入侵者活动可以用一种模式来表示，系统的目标是检测主体活动是否符合这些模式。它可以将已有的入侵方法检查出来，但对新的入侵方法无能为力。其难点在于如何设计模式既能够表达“入侵”现象又不会将正常的活动包含进来。2、异常检测异常检测(Anomalydetection)的假设是入侵者活动异常于正常主体的活动。根据这一理念建立主体正常活动的“活动简档”，将当前主体的活动状况与“活动简档”相比较，当违反其统计规律时，认为该活动可能是“入侵”行为。异常检测的难题在于如何建立“活动简档”以及如何设计统计算法，从而不把正常的操作作为“入侵”或忽略真正的“入侵”行为。扩展资料入侵分类：1、基于主机一般主要使用操作系统的审计、跟踪日志作为数据源，某些也会主动与主机系统进行交互以获得不存在于系统日志中的信息以检测入侵。这种类型的检测系统不需要额外的硬件．对网络流量不敏感，效率高，能准确定位入侵并及时进行反应，但是占用主机资源，依赖于主机的可靠性，所能检测的攻击类型受限。不能检测网络攻击。2、基于网络通过被动地监听网络上传输的原始流量，对获取的网络数据进行处理，从中提取有用的信息，再通过与已知攻击特征相匹配或与正常网络行为原型相比较来识别攻击事件。此类检测系统不依赖操作系统作为检测资源，可应用于不同的操作系统平台；配置简单，不需要任何特殊的审计和登录机制；可检测协议攻击、特定环境的攻击等多种攻击。但它只能监视经过本网段的活动，无法得到主机系统的实时状态，精确度较差。大部分入侵检测工具都是基于网络的入侵检测系统。3、分布式这种入侵检测系统一般为分布式结构，由多个部件组成，在关键主机上采用主机入侵检测，在网络关键节点上采用网络入侵检测，同时分析来自主机系统的审计日志和来自网络的数据流，判断被保护系统是否受到攻击。参考资料来源：百度百科-入侵检测