监测和优化服务器性能Word下载.docx

1、一个有经验的网络管理员能够通过系统日志了解到系统的安全性能，恶意用户在入侵系统后所做第一件事情就是抹掉记录自己入侵的日志。本节将介绍事件日志的查看与管理。1、事件日志介绍所谓事件是指对用户操作的审核记录。通过事件查看器和事件日志，用户可以收集有关硬件、软件、系统问题的信息并监视系统安全事件。换句话说，一些与系统运行过程相关信息被记录下来，供管理员和用户查看，从而找出一些问题的原因所在。Windows Server 2003系统默认存在如下日志：应用程序日志、安全日志、系统日志和DNS服务器日志等。根据服务器角色和所安装的服务不同，Windows Server 2003系统上所拥有的事件日志可能

2、有所不同，但是不管作为域控制器还是作为一般服务器，都有以下3种最基本的日志：系统日志、安全日志和应用程序日志。这些日志默认位置在%systemroot%system32config目录下。系统日志：记录由系统组件所产生的事件，例如，服务不能正常启动、启动期间要加载的驱动程序或其他系统组件的故障等。安全日志：记录有关安全性的事件信息。例如有效和无效的登录尝试等安全事件，以及与资源使用有关的事件。在默认情况下，Windows Server 2003不会记录各项安全性事件，必须由用户手动启用审核功能后，才会记录被审核项的安全性事件。例如创建、打开或删除文件以及有关设置的修改。应用程序日志：记录由应用

3、程序或一般程序产生的事件。只有该应用程序被开发人员加入了产生事件的功能，才会产生事件。2、系统和应用程序事件的类型系统事件和应用程序事件有三种类型：信息、警告和错误。 信息：服务、应用程序或驱动程序成功启动的事件都属于信息这一类。 警告：表示可能会引起问题的事件。 错误：造成服务、应用程序或驱动程序不能顺利执行其功能的严重事件。每个事件都包含了详细信息，例如事件类型和有关事件的服务。使用事件信息可以正确标识事件，并执行适当的操作。系统事件由Windows Server 2003生成，被记录在系统日志中。应用程序事件由应用程序生成，被记录在应用程序日志中。例如，“审核成功”事件的属性对话框如图所

4、示。其中包含：日期：事件发生的日期。时间：事件发生的当地时间。用户：事件发生所代表的用户名称。计算机：产生事件的计算机的名称。事件ID：识别特殊事件类型的编号。来源：产生事件的服务、应用程序或驱动程序的名字。类别：按事件来源分类事件。该信息主要用于安全日志。描述：指明发生的事件或事件的重要性。类型：根据具体情况不同，主要有以下几种类型： 成功审核：此事件只出现在安全日志中，凡是所审核的操作执行成功就属于此类事件。 失败审核：此事件和成功审核一样，也只出现在安全日志中，凡是所审核的操作执行失败就属于此类事件。3、查看事件日志在Windows Server 2003系统启动、运行过程中，很有可能会

5、有一些错误消息警告，这些系统事件和应用程序事件都被有序地记录在相关的日志文件中，按时间顺序从新到旧排列。日志文件详细记录了每个发生事件的信息。例如，某些服务或某些程序不能启动，那么就可以通过“事件查看器”查看事件日志，了解究竟是什么问题引起的。用户可以通过“开始”“管理工具”“事件查看器”菜单，启动事件查看器。在窗口的左侧双击要查看的事件日志名称，在窗口的右侧就可以显示此类事件日志的详细信息，如图所示。在“事件查看器”窗口，用户可以查看详细的事件内容，以及对事件进行分类过滤。如果通过网络，用户还可以查看网络计算机的事件日志。想要查看某个事件的详细信息，在“事件查看器”左边的窗口选择要查看的日志

6、，然后在右边的窗口中右键单击想要查看的具体事件，在弹出的快捷菜单中选择“属性”，或者通过“事件查看器”的“操作”菜单中的“属性”也可以打开该事件的属性对话框。如果需要对查看的事件进行过滤，以搜索特定类型的事件，可以先选择要搜索的日志，再选择“查看”菜单中的“查找”项，在弹出的对话窗中设置查找事件类型，从而完成特定事件的搜索，如图所示。4、管理事件日志Windows Server 2003的事件日志是预先建立好的，从图15.1右边的窗口中用户可以看到，每个日志都有默认容量，随着系统的运行，这些容量会有耗尽的一天，那就必须手动清除或者增大日志的容量。手动清除事件很简单，右键点击事件查看器左边窗口中

7、要清理的日志，在快捷菜单中选择“清除所有事件”选项，如图所示。除了定期手动清理事件日志，还可以使用MMC来管理事件日志。在事件查看器左边窗口中选择要设置的日志，单击鼠标右键，在弹出的快捷菜单中选择“属性”选项，出现如图所示的对话框。其中主要的设置就是日志的大小和达到事件日志大小上限时的处理方式。其中：（1）按需要覆盖事件：在事件日志已满，而又有新的事件产生时，事件记录服务就会用新的事件记录覆盖最旧的记录。（2）覆盖时间超过天的事件：指定可改写几天前的记录，默认是7天。这项是指新的事件会覆盖旧的记录，但最多只改写7天前的记录。若当前事件日志已满，且都是7天内的记录，那么，即使再有新的事件产生，也

8、不会被写到事件日志中去。（3）不覆盖事件（手动清除日志）：只要事件日志已满，或新的事件信息不能被记录，用户可以按需要将事件日志的容量设大一些。如果日志没有足够的容量，又不允许改写旧记录的话，将会导致新的事件不能被记录。如果这种情况发生在安全日志中，会有不同的处理方式。二、使用“任务管理器”监视系统性能在Windows Server 2003的任务管理器，显示了计算机上所运行的程序和进程的相关信息，也显示了最常用的度量进程性能的单位，并提供了有关计算机性能的信息。通过使用任务管理器，用户可以查看正在运行的程序的状态，并能够终止已停止响应的程序，也可以使用多达 15 项的参数来评估正在运行的进程的

9、活动，还可以监视计算机性能的关键指示器，查看反映 CPU 和内存使用情况的图形和数据。此外，如果与网络连接，也可以查看网络状态，了解网络的运行情况。如果有多个用户连接到您的计算机，可以看到谁在连接、他们在做什么，还可以给他们发送消息。启动任务管理器的常用方法有三种：同时按下“Ctrl+Alt+Del”组合键。在任务栏的空白处右键单击，然后选择“任务管理器”菜单项。同时按下“Ctrl+Shift+Esc”组合键也可以打开任务管理器。启动后的任务管理器窗口如下图所示。该窗口向用户提供了文件、选项、查看、窗口、帮助等五大菜单项。下面还有应用程序、进程、性能、联网、用户等五个标签页。窗口底部则是状态栏

10、，从这里可以查看到当前系统的进程数、CPU使用比率、内存的容量和使用情况等。默认情况下系统每隔两秒钟对数据进行1次自动更新，用户也可以点击“查看更新速度”菜单重新设置。1、监视程序“应用程序”标签页上显示了计算机上正在运行的应用程序，不过它只会显示当前已打开窗口的应用程序，而QQ、MSN Messenger等最小化至系统托盘区的应用程序则并不会显示出来。在此选项卡中能够结束、切换或者启动程序。如上图所示。具体操作有：（1）启动新程序。单击“新任务”按钮，可以直接打开相应的程序、文件夹、文档或Internet资源，如果不知道程序的名称，可以点击“浏览”按钮进行搜索，其实这个“新任务”的功能有些类

11、似于开始菜单中的“运行”命令。（2）切换程序。在“应用程序”选项卡上，选择要切换到的程序，然后单击“切换至”。（3）修改程序优先级。想要查看正在运行的程序的优先级，可以选择“查看”菜单上的“选择列”。在“选择列”对话框中，选中“基本优先级”，然后单击“确定”。更改进程的优先级可以使其运行更快或更慢（取决于是提升还是降低了优先级），但也可能对其他进程的性能有相反的影响。 （4）结束程序。选择要终止的程序，然后单击“结束任务”就可以结束一个程序的运行，但是， 该程序中任何未保存的数据或所作的更改均将丢失。2、监视进程选择“进程”标签页，可以查看系统中当前正在运行的进程，包括应用程序、后台服务等，如

12、下图所示。在这里提供了一些计数器，帮助用户监视进程的运行。例如，“CPU”列中显示了进程从上一次更新以来CPU使用时间的百分比。而“内存使用”列中显示的是进程当前的工作集（驻留内存的页面数），以千字节为单位。还有其他的计数器，可以根据用户的需要，通过“查看”菜单“选择列”调整显示的列标题，如图所示。在这里除了可以通过计数器监视进程的运行，有些时候一些运行出错又不能正常关闭的程序，也可以使用“结束进程”命令，强行终止。不过这种方式将丢失未保存的数据，而且如果结束的是系统服务，则系统的某些功能可能无法正常使用。另外，在系统底层可能还会隐藏运行一些病毒程序或木马程序，如果知道它们的名称也可以在这里找

13、到，当然这些程序是用户不希望在系统中运行的，同样可以用上述的方法结束病毒程序的运行。3、监视性能通过任务管理器中“性能”标签页，用户可以监视系统性能动态状况，例如CPU和内存的使用情况，如图所示。其中主要有以下几项主要选项：（1）CPU使用情况：表明处理器工作时间百分比的图表，该计数器是处理器活动的主要指示器，查看该图表可以知道当前使用的处理时间是多少。（2）CPU使用记录：显示处理器的使用程序随时间的变化情况的图表，图表中显示的采样情况取决于“查看”菜单中所选择的“更新速度”设置值，“高”表示每秒2次，“正常”表示每两秒1次，“低”表示每四秒1次，“暂停”表示不自动更新。（3）PF使用情况：

14、正被系统使用的页面文件的量。如果计算机运行接近最大限度，可以增大页面文件的大小。（4）页面文件使用记录：显示页面文件的量随时间的变化情况的图表，图表中显示的采样情况取决于“查看”菜单中所选择的“更新速度”设置值。（5）总数：显示计算机上正在运行的句柄、线程、进程的总数。（6）执行内存：分配给程序和操作系统的内存，由于虚拟内存的存在，“峰值”可以超过最大物理内存，“总数”值则与“页面文件使用记录”图表中显示的值相同。（7）物理内存：计算机上安装的总物理内存，也称RAM，“可用”表示可供使用的内存容量，“系统缓存”显示当前用于映射打开文件的页面的物理内存。（8）内核内存：操作系统内核和设备驱动程序

15、所使用的内存，“页面”是可以复制到页面文件中的内存，由此可以释放物理内存；“非分页”是保留在物理内存中的内存，不会被复制到页面文件中。三、使用系统监视器监视系统性能监视系统的性能是维护和管理计算机的重要操作。Windows Server 2003系统提供任务管理器、系统监视器以及性能日志和警报三种工具来监视系统性能。前面已经介绍了在“任务管理器”中观察计算机上的程序和进程的信息，以及处理器和内存的使用情况等选项。“系统监视器”提供的是有关操作系统的特定组件以及专门收集性能数据的程序所使用的资源的详细数据，用图形的形式显示。日志则提供了对这些数据的记录能力。当计数器值到达、高于或低于所定义的阈值

16、时，警报将通过“信使”服务告知用户。监视系统性能的主要作用有： 了解工作负荷以及它对系统资源的影响。 观察工作负荷和资源使用的变化和趋势，以便计划今后的升级。 利用监视结果来测试配置更改或其他调整结果。 诊断问题和目标组件及过程，用于优化处理。单击“开始”“管理工具”“性能”，打开“性能”控制台，如图所示。1、对象、实例和计数器打开“性能”控制台后，默认情况下会显示图表视图和工具栏，图表区域是空白的。将计数器加入图表后，“性能”中的“系统监视器”开始在图表区域绘制计数值图表，如上图中右边的窗口所示。选择的计数器名称及其相关信息显示在图例中，即图表下方的一组列表。图中显示的主要信息有： 对象：与

17、可以监视的资源或服务相关联的计数器的逻辑集合。可以是硬件，如硬盘；也可以是软件，如进程。 实例：用来区分计算机上相同类型的多个性能对象的术语。是相同类型的多个对象，例如，如果系统有多个处理器，Processor对象类型就有多个实例。 计数器：与性能对象相关联的数据项。对于每个选定的计数器，“系统监视器”都提供一个与性能对象定义的某一方面性能相对应的值。如果一个对象类型有多个实例，计数器会跟踪每个实例的统计数据或所有实例的统计数据。2、添加计数器添加计数器首先要选择需要监视性能的对象，然后通过对计数器的值进行分析来对所选择对象的性能进行监视，以更好地维护计算机。当用户需要添加计数器时，可在打开的

18、“性能”窗口中单击工具栏上“添加”的按钮，打开“添加计数器”对话框，如图所示。添加计数器的具体设置如下：（1）要监视运行监视控制台的所有计算机，可选择“使用本地计算机计数器”单选按钮。要监视特定计算机，而不考虑运行监视控制台的位置，可选择“从计算机中选择计数器”并指定计算机名（默认情况下选中本地计算机名）。（2）在“性能对象”下拉列表框中，单击要监视的对象，默认情况下系统选择的是“处理器”。（3）要监视所有计数器，可选择“所有计数器”单选按钮。如果只监视选定的计数器，请单击“从列表中选择计数器”，然后在其列表中选择要监视的计数器。（4）要监视所选计数器的全部实例，用户可选择“所有实例”单选按钮

19、，要只监视所选的实例，可单击“从列表中选择实例”，然后在其列表框选择要监视的实例。当所有选项设置好之后，单击“添加”按钮，即可添加一个新的计数器。如果用户不清楚某计数器的作用时，可在“从列表中选择计数器”列表中选中该计数器，然后单击“说明”按钮，这时出现一个对此项进行详细阐述的对话框。常用监视系统性能的计数器及其概要如表所示。表1 常用计数器参考表系统资源监视目的性能项目/计数器概要处理器使用信息Processor%Processor TimeCPU的利用率瓶颈SystemProcessor Queue Length处理器队列的线程数Processor%Interrupts/sec处理器接收和

20、处理硬件中断的平均速度，单位为每秒事例数。SystemContext switches/sec包含了从任意的线程向其他的线程转换的全部的处理器的比率内存使用状况MemoryAvailable Bytes执行中的程序利用可能的物理内存的尺寸MemoryCache Bytes文件系统缓冲现在使用的比特数MemoryPage/sec为了解决硬盘页失误从磁盘上能读取或被写到磁盘上的页的数MemoryPage Faults/sec处理器处理页失误的全体性的比率内存漏泄MemoryPage Input/sec从磁盘取读页面以解析硬页面错误的速度MemoryPage Reads/sec是取读磁盘以解析硬页面

21、错误的速度MemoryTransition Faults/sec是恢复页面解析页面错误的速度MemoryPool Paged Bytes指在分页池中的字节数，分页池是系统内存中可供对象使用的一个区域MemoryPool Nonpaged Bytes在非分页池中的字节数，非分页池是指系统内存中可供对象使用的一个区域磁盘LogicalDisk% Free Space所选定的逻辑磁盘驱动器上总的可用空闲空间的百分比LogicalDisk% Disk Time所选磁盘驱动器忙于为读或写入请求提供服务所用的时间的百分比PhysicalDisk% Read/sec 1在1秒内的读入动作回数Physical

22、Disk% Writes/sec 1在1秒内的写入动作回数LogicalDisk%Avg Disk Queue Length（*1）进入了选择了的磁盘的例的领会及写上要求的数的平均值PhysicalDisk%Avg Disk Queue Length读取和写入请求（为所选磁盘在实例间隔中列队的）的平均数网络NetworkSegment%Net Utilization网络分割的利用率容许量Network InterfaceBytes Total/sec在每个网络适配器上发送和接收字节的速率，包括帧字符在内Network InterfacePackets/sec为在网络界面发送和接收数据包的速率S

23、erverBytes Total/sec服务器从网络上发送和接收的字节数3、查看计数器数据当用户对“系统监视器”进行查看的时候，利用其工具栏中的常用功能按钮，可以方便访问系统监视器中的内容。系统监视器有三种不同的显示方式： 图表：此方式以时间为横坐标，监视值为纵坐标。用曲线的变化来反映此时资源的运行情况，不同的选项用不同的颜色加以区别。为使图形中的线条同计数器匹配（线条根据计数器数值绘制），在线条上双击，在计数器栏中即可显示相应的值。在“数值栏”中，可以看到当前所选计数器上的最小值、最大值和平均值。 直方图：此方式用不同颜色的矩形在单位时间内面积的变化来反映，这种方式比较适合于同类型监视值的对

24、比， 报告：以列的方式显示数字数据。该视图适用于收集可导出至电子数据表的数据。如果需要详细了解监视器的有关资料，可在工具栏上单击“属性”按钮，弹出“系统监视器属性”对话框，如图所示：在“常规”选项卡中，可以选择要显示的元素、外观及边框，在“报告和直方图数据”选项组中根据需要进行选择，则系统显示的各项数值会发生改变，由于图表中数据不是随时间而连续的，而是有一定采样间隔，可在“自动抽样间隔”中设置，默认为1 秒。在“来源”选项卡中，“数据源”选项组包括三个显示图表数据源的复选框，“当前活动”表示输入到图表的当前数据，“日志文件”表示从日志输入的当前数据，“数据库”表示从日志输入的存档数据。在“数据

25、”选项卡中，“计数器”列表框列出了目前存在的计数器，用户可以改变显示的颜色、宽度、比例及样式，而且能进行计数器的添加和删除，用户可以根据自己的需要设定对象。在“图表”选项卡中，用户可以添加图形的标题和垂直轴的名称，当需要各项进行比较的时候，可以选择“垂直格线”和“水平格线”复选框，这样观察更为直观。用户可调整“垂直比例”中的“最大值”和“最小值”来改变垂直轴的数值，从而改变纵横坐标之间的比例。在“外观”选项卡中，用户可以根据自己的爱好来改变图形显示、网格、计时器栏的颜色，选定需要改变的选项，单击“更改”按钮，弹出“颜色”对话框，可在“基本颜色”中选择，也可以自定义颜色，添加到“自定义颜色”选项

26、中，应用后，图表中显示区域的颜色发生相应的改变，除了颜色可改变外，图表中的字体也可以进行类型、大小和样式的设置，在“字体”选项下单击“更改”，弹出“字体”对话框，用户可以选择自己喜欢的字体。值得注意的是，资源使用可以基于一天的不同时间完成的工作而明显变化。 显示一个间隔上的使用率的计数器比即时计数器的平均值更具信息价值，因为平均值可能包括服务启动或其他事件的数据，这些事件使数字远离短期的范围，从而使结果偏离。此外，除了可以在系统监视器中直接查看性能数据外，用户也可以把性能数据写入日志进行保存。四、使用警报Windows 2003系统提供的性能管理工具提供了两种与性能相关的记录，计数器记录和跟踪

27、记录。这些记录用于高级性能分析和可以通过一段时间完成的记录保留。该工具中还有一个报警机制。它的报警函数用于定义一个计数器的值，以触发警报并发送网络消息、执行程序或开始一条记录，这对于保持对系统的密切观测很重要。配置警报时，首先需要配置警告、采样间隔和警告阀值的计数器，然后需要配置事件发生时所采取的行动，具体步骤如下：（1）打开“性能”控制台，双击“性能日志和警报”，单击“警报”，已有的所有警报将在详细信息窗格中列出。绿色图标表明警报正运行，红色图标表明警报已停止。（2）右键单击详细信息窗格的空白区，然后单击“新的警报设置”，如图所示。（3）在“名称”中键入警报名称，然后单击“确定”。要定义警报

28、的注释，以及计数器、警报阀值和采样间隔，请使用“常规”选项卡，如图所示。（4）要定义计数器数据触发警报时应发生的操作，可使用“操作”选项卡，而要定义服务开始扫描警报的时间，可使用“计划”选项卡。总之，警报是一种用于检测预定义的计数器值何时高于或低于所配置的阀值并通过信使服务通知用户的服务。用户可以对不经常发生的非常活动进行监控，定义一个警告，以获知这个事件的触发。通常与安全事件有关的事件就需要这类警报服务。也可以配置警报服务在特定资源低于或超出用户所建立的特定值、阀值或基准时给出提示。比如针对内存性能对象，当Available Bytes计数器的值低于4MB时就是一个阀值，应及时进行调整，否则

29、可能会出现瓶颈。五、优化性能所谓优化性能，就是解决如何系统不改变对外提供功能的前提和不购买新硬件的条件下完成更多的工作。有时只需消除一些简单的瓶颈即可解决许多性能问题，使用户的计算机以最优性能运行。为此，用户必须充分了解自己的计算机和网络，学会利用系统提供的性能工具对系统性能进行检测，从而找到瓶颈所在，修改配置解决瓶颈，优化系统性能。1、性能优化过程Windows Server 2003系统性能优化的基本思想是，借助于性能管理工具测试影响系统性能的主要性能对象，比如内存、磁盘和网络等，分析收集来的数据，从而找到系统的瓶颈所在，然后解决瓶颈、优化性能。测试方法的选择与发现问题手段，是与解决问题的能力密切相关。整个系统性能优化过程大致可归纳为以下几个步骤：（1）识别瓶颈通过任务管理器、系统监视器和性能日志与警告，收集、分析性能数据，监视系统性能，查找瓶颈。（2）解决瓶颈根据产生瓶颈的原因，调整系统的配置，从而解决瓶颈。（3）性能优化通过关闭不必要的服务、调整系统软件、硬件配置等来加速、修复、优化和保护系统。2、检查内存性能内存使用情况可能是系统性能中最重要的因素。如果系统页面文件交换频繁，说明内存不足。“页交换”是使用称为“页面”的单位，将固定大小的代码和数据块从内存移动到磁盘的过程，其目的是为了释放内存空间。尽管