Самоучитель
системного администратора

7.1. Простейшие варианты мониторинга

Профессиональные системы мониторинга не дешевы. В то же время потребности небольших систем легко удовлетворить подручными средствами.

Контроль журналов Windows

Операционная система постоянно фиксирует состояние выполнения тех или иных операций в журналах. Записи в журналах являются для администратора "первой ласточкой", предупреждающей о неполадках в работе. Однако при увеличении числа обслуживаемых администратором систем своевременно прочитывать информацию журналов на всех компьютерах у администратора не хватает времени.

В этом случае необходимо использовать специальные возможности оснастки просмотра журналов в Windows 7/Windows 2008.

Привязка задачи

Администратор может настроить автоматический запуск какого-либо задания в случае возникновения события в журнале. Можно это сделать, явно указывая параметры события при создании задания, но удобнее перенести параметры из сообщения журнала.

Выделите сообщение, по появлению которого нужно выполнять некие действия, и перейдите по ссылке Привязать задачу (рис. 7.3). Дальнейшие шаги будут происходить под управлением мастера операций. Вы можете назначить отсылку сообщения (в том числе по электронной почте) или запустить любую задачу.

Рис. 7.3.
Окно программы просмотра журнала событий

После настройки правила реагирования на события появятся как задания в журнале планировщика (рис. 7.4).

Рис. 7.4.
Планировщик заданий Windows 2008.
Это задание отсылает сообщение по электронной почте на указанный адрес в случае появления нового сообщения в созданном администраторе, настраиваемом представлении журнала событий

В сервере Windows 2003 возможности в привязке задачи нет. Но можно воспользоваться специальным сценарием — eventtriggers, который позволяет настроить автоматические действия системы на то или иное событие. Справочная система к этой команде подробно описывает, как следует создать триггер, настроенный на появление определенного события. Поэтому мы не будем останавливаться на этом описании.

Подписка на события

Оснастка просмотра события позволяет собирать сообщения с других компьютеров. Для этого достаточно настроить подписку (рис. 7.5). При настройке подписки вы также указываете правила сбора сообщений (фильтрации), определяете компьютеры, с которых ведется сбор данных и т. д. Обычно все собранные таким образом сообщения направляют в журнал Пересланные события, который можно использовать при создании собственных настраиваемых сообщений.

Рис. 7.5.
Окно мастера настройки подписки

В серверах Windows 2000/2003 подобная функциональность в оснастке просмотра событий отсутствует. Но вы можете воспользоваться бесплатной утилитой EventCombMT из состава Resource Kit для сбора событий с нескольких систем. Утилита входит в состав Account Lockouts Tools (см. документ KB824209) и позволяет собирать события с учетом фильтрации по номеру (точное совпадение, диапазон номеров и т. п.), по источнику события, по тексту сообщения, по времени события и т. д. (рис. 7.6). В составе утилиты присутствует подробная справка, которая помогает составить любой необходимый фильтр поиска сообщений.

Рис. 7.6.
Утилита EventCombMT.
Администратор может достаточно просто настроить фильтры для поиска сообщений на любом числе компьютеров. Утилита специально спроектирована для многопоточного поиска, что позволяет быстро осуществлять поиск заданного события на многих компьютерах. Результаты работы утилиты сохраняются в текстовом файле

Другой возможный способ для систем Windows XP/Windows 2003 — это использование сценария EVENTQUERY.vbs, который позволяет вывести события как с локального, так и с удаленных компьютеров, используя необходимые фильтры (по дате, по номеру события, типу и т. п.). Кроме того, анализировать журнал событий можно и другими средствами. Так, утилита LogParser позволяет в том числе подключаться к журналам событий различных компьютеров и осуществлять произвольные выборки сообщений.

Создание собственных событий в журналах Windows

Поскольку мы умеем реагировать на события в журналах системы, то для настройки действий на любое другое событие в системе можно поступить очень просто: достаточно внести о нем запись в системный журнал, а далее уже использовать средства привязки задачи к такому событию.

Начиная с Windows 2003 в составе операционной системы присутствует команда eventcreate. С ее помощью можно записать в любой журнал событие заданного типа (информация, ошибка и т. п.). Использование утилиты подробно описано в ее справке (eventcreate /?), к которой мы и отошлем читателя.

Настройка журналирования в syslog

Системный журнал Linux создается специальным демоном (syslogd), которому "шлют" свои сообщения программы. Этот демон сравнивает сообщения с теми правилами обработки, которые записаны в его конфигурации (обычно это /etc/ syslog.conf). При обнаружении соответствия в журнал записывается сообщение.

    Примечание

    Журналирование — процесс записи информации о происходящих с каким-то объектом (или в рамках какого-то процесса) событиях в журнал (например, в файл).

Конфигурация демона представляет собой перечень строк, в которых первый столбец указывает правило отбора, а второй — действия демона. Источник записи принято называть категорией (facility), каждая категория имеет несколько уровней (level) — ошибка, важно, информация и т. п.

В качестве действий можно указывать журналы (тогда сообщение будет записано в этот журнал), пользователей (им будет отослано сообщение, если они работают в системе), другие компьютеры (их имя должно быть написано с символа "@"), программы (в этом случае название программы должно быть предварено символом перенаправления потока - "|").

Следующие строки конфигурации иллюстрируют приведенное выше описание:

Утилиты мониторинга

Спектр программ мониторинга весьма широк.

Много программ осуществляет сбор сообщений из журналов системы и обработку их по заранее подготовленным критериям. Можно отметить решения EvenTrigger от компании IS Decisions (www.eventrigger.com), GFI LANGuard Security EventLog Monitor (www.gfi.com), Advanced Host Monitor от компании KS-Soft (http://www.ks-soft.net/hostmon.eng/index.htm), MonitorMagic от Tools4ever (http://www.tools4ever.com/ products/monitormagic/) и др. Много других программ доступно через поисковые системы, например в Желтых страницах Yahoo, в Google и т. п.

В сообществе присутствует большое число систем, разработанных для мониторинга информационных систем крупных предприятий с многочисленными филиалами. Комплексные системы управления, такие как HP Open View, Tivoli и аналогичные, практически не доступны, прежде всего, по экономическим соображениям, средним предприятиям нашей страны и даже многим крупным. Поэтому особое внимание привлекают продукты, либо приемлемые по цене для большинства заказчиков, либо полностью бесплатные (построенные на продуктах Open Source).

Среди Open Source-проектов можно упомянуть также такие решения, как Cacti (http://cacti.net/), Munin (http://munin.projects.linpro.no/), OpenNMS (http:// www.opennms.org/), ZABBIX (http://www.zabbix.com/) и др. Для каждого из этих проектов в Сети доступны многочисленные расширения, позволяющие достаточно просто обеспечить контроль работы информационной системы.

Многие вендоры выпустили специальные версии систем мониторинга, предназначенные для небольших организаций. Эти версии либо отличаются крайне низкой стоимостью, либо вообще бесплатны. Например, OpManager (http://www. manageengine.com/network-monitoring/download-free.html), который может контролировать бесплатно до 10 систем (серверов Windows и Linux, активное сетевое оборудование).

Среди продуктов, предназначенных для мониторинга больших систем, признанными лидерами для Windows-систем является Microsoft System Control Center (коммерческий продукт) и Nagios (бесплатное решение для мониторинга Windows-, Linux-систем и активного оборудования, де-факто стандарт мониторинга).


Рейтинг@Mail.ru