Отлично, как всегда, Илья. Умеете вы вот так по верхам пройтись и сразу все понятно даже начинающим. Разумеется, те, кто занимается мониторингом серверов Windows знают этот инструмент как самое удобное средство для поиска нужных счетчиков :). Кстати - добавлю лайфхак - если запустить не программу perfmon, а открыть его как оснастку через mmc - то можно будет сохранить набор счетчиков с настройками графиков как оснастку, и потом быстро ее открывать.
С точки зрения Performance Monitor не важно расположена виртуалки в Azure или у вас на домашнем компе) Учитывая, что Performance Monitor это не только производительность, но и наблюдение за приложениями, он еще поживет)
Один из модулей 10 часового курса "Администрирование Windows Server 2019." www.course4it.com/product-page/admin-windows-server-2019 P.S Курс ключает 5 часовую лабу.
Спасибо за системность изложения. Я могу ошибаться, но мне кажется что User time и Privileged time означают следующее: сколько процессор находился в пользовательском режиме и сколько в режиме ядра. Это видно на примере с игрой - это пользовательское приложение. Оно часть кода выполняет в пользовательском режиме. Но некоторые системные вызовы переходят в режим ядра (привилигированный, для операций ввода/вывода например). Просто чаще сама система работает больше в режиме ядра - хотя не обязательно. А пользовательские приложения и там и там - баланс зависит от характера задач. Если программа считает свою логику, то она в пользовательском, а если пишет на диск и вызывает WriteFile, например, то переходит в режим ядра. И эти счетчики и позволяют нам оценить характер поведения процесса.
Спасибо Илья за видео! Сейчас как вам известно, очень много сисадминов просто открывают RDP порты до своих рабочих серверов. Я против прямого открытия RDP в сеть, поэтому сам использую туннели и пока не определился какими туннелями всё же буду пользоваться на постоянной основе. Но мои многочисленные коллеги которых около 100, не все понимают потенциальной опасности и открывают RDP в сеть ни чем не прикрывая его. Входе использования такого использования RDP, выяснилось что брутфорсеры не останавливаются и продолжают подбирать пароли, даже после закрытия их адресов на роутере). Но это нормальное поведение брутфорсеров, они именно так и должны работать. Я решил написать скрипт, который будет собирать сведения из логов об ошибочных подключениях и передавать их на Linux сервер для дальнейшей блокировки. Но в силу того что знаний в этой области не много, пока могу только посмотреть успешную авторизацию на RDP сервере, но уже хоть что-то). Может вы подскажите как всё таки можно смотреть такую активность, либо через Performance Monitor либо может через какой нибудь скрипт, но на выходе надо иметь файл в формате UTF-8 с информацией о пользователе и его адресе, а уже на Linux их можно будет заблокировать через ipset. Заранее спасибо!
@@IlyaMCT Я думал через PowerShell можно как-то выгрузить ошибки авторизации). Но по факту всё равно не понятно что надо сделать планировщику что бы получить такую информацию. Понятно, что если написать скрипт и выполнять его через планировщик то это будет логично если выгружать такую информацию по расписанию, но может можно как-то и в реальном времени? Да и сам скрипт не понятно как написать, может это будет вашей следующей темой для видео?))
@@LinuxbyDmitry # вычитываем лог, откуда из событий за последний час с ошибками аутентификации отбираем IP-адреса источников атаки $log = Get-WinEvent -FilterHashtable @{ LogName = 'Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational'; Id = 140; StartTime=([DateTime]::Now.AddHours(-1))} | Select-Object @{n='ipAddress';e={$_.Message.Split(" ")[7]}} # из лога отбираем источники, ошибок аутентификации с которых было более 10 $getip = $log | group-object -property ipAddress | where {$_.Count -ge 10} | Select -property Name
@@DenLee Спасибо, надо попробовать). Сейчас пока некогда, второй день уже парюсь с новым RDP сервером и доменом, домен перенёс с виртуального на физический, так и не смог найти причину выключения виртуалки с доменом, вырубается рандомно но корректно без ошибок. Грешу на мало выделенную память (2048), но больше не могу выделить, её не хватает.
Хотелось бы узнать ваше мнение о работе преподавателя IT курсов в сравнении с работой ITшника, насколько скучна работа преподавателя, ведь по факту он читает определенный набор курсов и каких-то неординарных задач нет в отличии от специалиста IT, у которого могут такие задачи возникнуть в любой день и они способствуют росту навыков.
Отлично, как всегда, Илья. Умеете вы вот так по верхам пройтись и сразу все понятно даже начинающим.
Разумеется, те, кто занимается мониторингом серверов Windows знают этот инструмент как самое удобное средство для поиска нужных счетчиков :).
Кстати - добавлю лайфхак - если запустить не программу perfmon, а открыть его как оснастку через mmc - то можно будет сохранить набор счетчиков с настройками графиков как оснастку, и потом быстро ее открывать.
Реально нужное видео!! Один раз юзал для мониторинга дисков, удивился, нет хорошего описания инструмента!
Замечательная тема и видео. Ещё бы по журналам windows подобное запустить. Спасибо!
Спасибо, Илья, крайне полезный ролик!
Большое спасибо! Очень полезный выпуск.
Лайк как всегда.
Спасибо за контент.
Спасибо за видео!
Спасибо, очень полезно.
Огонь!
Как обычно профессионально!
З.ы. думаете ещё актуально будет, всех же в ажур загоняют
С точки зрения Performance Monitor не важно расположена виртуалки в Azure или у вас на домашнем компе) Учитывая, что Performance Monitor это не только производительность, но и наблюдение за приложениями, он еще поживет)
Один из модулей 10 часового курса "Администрирование Windows Server 2019." www.course4it.com/product-page/admin-windows-server-2019 P.S Курс ключает 5 часовую лабу.
ссылка не работает
поправил. спасибо.
Хорошее средство. Один раз использовал чтобы понять что проседает запросы в mssql или дисковая подсистема. Но потом перешёл на zabbix.
Спасибо за системность изложения. Я могу ошибаться, но мне кажется что User time и Privileged time означают следующее: сколько процессор находился в пользовательском режиме и сколько в режиме ядра. Это видно на примере с игрой - это пользовательское приложение. Оно часть кода выполняет в пользовательском режиме. Но некоторые системные вызовы переходят в режим ядра (привилигированный, для операций ввода/вывода например). Просто чаще сама система работает больше в режиме ядра - хотя не обязательно. А пользовательские приложения и там и там - баланс зависит от характера задач. Если программа считает свою логику, то она в пользовательском, а если пишет на диск и вызывает WriteFile, например, то переходит в режим ядра. И эти счетчики и позволяют нам оценить характер поведения процесса.
Super, Thx!
супер.
Спасибо
Ставлю лайк за запущенный СтарКрафт2
А поделитесь своими шаблонами с счетчиками
Спасибо Илья за видео!
Сейчас как вам известно, очень много сисадминов просто открывают RDP порты до своих рабочих серверов. Я против прямого открытия RDP в сеть, поэтому сам использую туннели и пока не определился какими туннелями всё же буду пользоваться на постоянной основе. Но мои многочисленные коллеги которых около 100, не все понимают потенциальной опасности и открывают RDP в сеть ни чем не прикрывая его. Входе использования такого использования RDP, выяснилось что брутфорсеры не останавливаются и продолжают подбирать пароли, даже после закрытия их адресов на роутере). Но это нормальное поведение брутфорсеров, они именно так и должны работать.
Я решил написать скрипт, который будет собирать сведения из логов об ошибочных подключениях и передавать их на Linux сервер для дальнейшей блокировки. Но в силу того что знаний в этой области не много, пока могу только посмотреть успешную авторизацию на RDP сервере, но уже хоть что-то).
Может вы подскажите как всё таки можно смотреть такую активность, либо через Performance Monitor либо может через какой нибудь скрипт, но на выходе надо иметь файл в формате UTF-8 с информацией о пользователе и его адресе, а уже на Linux их можно будет заблокировать через ipset.
Заранее спасибо!
Вам нужен не perfomance log, а eventvwr.msc.
@@IlyaMCT Я думал через PowerShell можно как-то выгрузить ошибки авторизации). Но по факту всё равно не понятно что надо сделать планировщику что бы получить такую информацию.
Понятно, что если написать скрипт и выполнять его через планировщик то это будет логично если выгружать такую информацию по расписанию, но может можно как-то и в реальном времени?
Да и сам скрипт не понятно как написать, может это будет вашей следующей темой для видео?))
@@LinuxbyDmitry доставайте из лога множественные ошибки RDP авторизации с одного и того же IP и добавляйте в блокирующее правило файвола.
@@LinuxbyDmitry
# вычитываем лог, откуда из событий за последний час с ошибками аутентификации отбираем IP-адреса источников атаки
$log = Get-WinEvent -FilterHashtable @{ LogName = 'Microsoft-Windows-RemoteDesktopServices-RdpCoreTS/Operational'; Id = 140; StartTime=([DateTime]::Now.AddHours(-1))} | Select-Object @{n='ipAddress';e={$_.Message.Split(" ")[7]}}
# из лога отбираем источники, ошибок аутентификации с которых было более 10
$getip = $log | group-object -property ipAddress | where {$_.Count -ge 10} | Select -property Name
@@DenLee Спасибо, надо попробовать). Сейчас пока некогда, второй день уже парюсь с новым RDP сервером и доменом, домен перенёс с виртуального на физический, так и не смог найти причину выключения виртуалки с доменом, вырубается рандомно но корректно без ошибок. Грешу на мало выделенную память (2048), но больше не могу выделить, её не хватает.
А есть вообще возможность посмотреть и зафиксировать какую нагрузку даёт конкретное приложение?
Илья подскажите будут ли еще курсы по elasticsearch?
Да, в сентябре. Анонс будет скоро.
Хотелось бы узнать ваше мнение о работе преподавателя IT курсов в сравнении с работой ITшника, насколько скучна работа преподавателя, ведь по факту он читает определенный набор курсов и каких-то неординарных задач нет в отличии от специалиста IT, у которого могут такие задачи возникнуть в любой день и они способствуют росту навыков.
Хороший ит препод как правило паралельно работает. Поэтому ему хватает веселья.
идл тайм - это типа летенси? сложность счетчиков перфоманс-монитора в том, что не всегда понятна мысль изобретателей названий...