Мониторинг работы Dr.Web® for Exchange Server 2000\2003 — различия между версиями

Материал из wiki.drweb.com
Перейти к: навигация, поиск
(Установка счетчиков)
м
Строка 1: Строка 1:
 
[[category:Exchange_Server]]
 
[[category:Exchange_Server]]
  
Для мониторинга работы антивирусного плагина на начальном этапе предлагается использовать стандартное средство «Perfomance monitor» (perfmon.msc). Perfomance monitor имеет стандартные счетчики Microsoft Exchange, позволяющие оценить нагрузки и производительность плагинов, работающих посредством VSAPI.
+
Для мониторинга работы антивирусного плагина на начальном этапе предлагается использовать стандартное средство «[[Perfomance monitor]]» (perfmon.msc). Perfomance monitor имеет стандартные счетчики Microsoft Exchange, позволяющие оценить нагрузки и производительность плагинов, работающих посредством VSAPI.
 
== Установка счетчиков ==
 
== Установка счетчиков ==
 
# Выполните Пуск-Выполнить-perfmon.msc. Перед вами откроется стандартное окно "Perfomance monitor" с тремя предустановленными счетчиками.
 
# Выполните Пуск-Выполнить-perfmon.msc. Перед вами откроется стандартное окно "Perfomance monitor" с тремя предустановленными счетчиками.

Версия 10:03, 26 марта 2008


Для мониторинга работы антивирусного плагина на начальном этапе предлагается использовать стандартное средство «Perfomance monitor» (perfmon.msc). Perfomance monitor имеет стандартные счетчики Microsoft Exchange, позволяющие оценить нагрузки и производительность плагинов, работающих посредством VSAPI.

Установка счетчиков

  1. Выполните Пуск-Выполнить-perfmon.msc. Перед вами откроется стандартное окно "Perfomance monitor" с тремя предустановленными счетчиками.
  2. Откройте «Системный монитор», нажмите Ctrl+I для добавления новых счетчиков
  3. Добавьте следующие счетчики:
    • MSExchangeIS\VirusScanFilesScanned. Общее количество отдельных файлов, обработанных средством поиска вирусов.
    • MSExchangeIS\VirusScanFilesScanned/sec. Оценка количества отдельных файлов, обработанных средством поиска вирусов в секунду.
    • MSExchangeIS\VirusScanFilesCleaned. Общее количество отдельных файлов, очищенных средством поиска вирусов.
    • MSExchangeIS Mailbox\Messages Submitted
    • Процесс\Байт исключительного пользования (Private Bytes)\процесс DRWCSMSP. Байт исключительного пользования (Private Bytes) - это объем в байтах выделенной данному процессу памяти, которая не может использоваться совместно с другими процессами.
    • Процесс\Байт исключительного пользования (Private Bytes)\процесс inetinfo
    • Процесс\Байт исключительного пользования (Private Bytes)\процесс store

Данные счетчики удобно просматривать в виде отчета (Ctrl+R) Monitor Exchange 1.JPG

Включение журналов счетчиков

Для снятия статистики работы плагина за определенные промежуток времени (например, рабочее время компании) удобно вести журналы в виде отдельных файлов. Для снятия статистики нагрузки на антивирусный плагин создадим 2 журнала.

  1. Private bytes. Добавим в этот журнал счетчики:
    • Процесс\Байт исключительного пользования (Private Bytes)\процесс DRWCSMSP.
    • Процесс\Байт исключительного пользования (Private Bytes)\процесс inetinfo
    • Процесс\Байт исключительного пользования (Private Bytes)\процесс store
  2. Virus Scan per sec. Добавим в этот журнал счетчик:
    • MSExchangeIS\VirusScanFilesScanned/sec.

Для каждого из журналов удобнее использовать следующие настройки.

  1. Снимать показания журнала каждые 5 сек.
  2. Файл журнала вести в виде «Текстовый файл (разделитель – табуляция)»
  3. Имена файлов оканчиваются на yyyymmdd
  4. Задайте удобное для вас расписание: включать журнал в начале рабочего дня (8:00), завершить через 10 часов. Когда файл журнала будет закрыт, начать новый файл журнала.

Включите ведение журналов. Проверьте, что файлы журналов созданы в папке: «%homedrive%\perflogs\».

Пример мониторинга файлов журнала

  1. Для отображения показаний журнала в графическом виде откройте permon.
  2. Oткройте свойства (Ctrl+Q)
  3. Перейдите на вкладку «Источник»
  4. Добавьте нужный файл журнала, например «Private bytes».
  5. Выставите диапазон времени. Лучше всего отобразить динамику в течение рабочего дня
  6. Перейдите на вкладку «Данные» и последовательно добавьте один из следующих данных:
    • Процесс\Байт исключительного пользования (Private Bytes)\процесс DRWCSMSP.
    • Процесс\Байт исключительного пользования (Private Bytes)\процесс inetinfo
    • Процесс\Байт исключительного пользования (Private Bytes)\процесс store
  7. Нажмите «Применить»
  8. Перейдите на вкладку «График» и выставите минимум и максимум значений вертикальной шкалы
  9. Нажмите «Ok»

Вот как может выглядеть график потребления памяти процессом DRWCSMSP при интенсивной проверке почтовой базы:

Monitor Exchange 2.JPG

Создание оповещения

Если потребление памяти каким-либо процессом будет слишком большое возможно создать оповещение об этом.

  1. Создайте новое оповещение Private Bytes DRWCSMSP
  2. Комментарий: «Значение "байт исключительного пользования" для процесса DRWCSMSP превышает 100 Мб»
  3. Счетчики: Процесс\Байт исключительного пользования (Private Bytes)\процесс DRWCSMSP.
  4. Снимать показания каждые 15 сек.
  5. Оповещать, когда значение больше 104857600
  6. Когда инициировано оповещение:
    • сделать запись в журнале приложений
    • послать сетевое сообщение на ваш компьютер (убедитесь, что служба сообщений включена)
  7. Время запуска оповещения выставите такое же, как и для запуска журналов.

Дополнительное логирование от MSExchange IS

Возможно настроить дополнительный вывод информации в EventLog о вирусной активности средствами MSExchangeIS. Для этого выполните следующее:

  1. Откройте свойства почтового сервера в оснастке Exchange
  2. Перейдите на вкладку “Diagnostics logging”
  3. Разверните MSExchangeIS-System
  4. Categories-Virus Scanning-Maximum

Monitor Exchange 3.JPG


Теперь при обнаружении вируса вы будите получать в EventLog примерно следующую информацию:

Тип события:	Предупреждение
Источник события:	MSExchangeIS
Категория события:	Virus Scanning 
Код события:	9572
Дата:		24.03.2008
Время:		15:50:01
Пользователь:		Н/Д
Компьютер:	EXCH03
Описание:
Virus scanner detected one or more viruses while scanning a message. All viruses have  
been successfully cleaned. 
Virus Information: EICAR Test File (NOT a Virus!) 
Database: First Storage Group\Mailbox Store (EXCH03) 
Mailbox: SMTP (EXCH03-{AE39732E-FB7F-426D-98A0-298F3F014C77}) 
Folder: /NON_IPM_SUBTREE/TempTable%231/%2311 
Message Subject: eicar 
Message To: DZverev 
Message Cc:  
For more information, click http://www.microsoft.com/contentredirect.asp.

Получая подобную информацию вы можете самостоятельно оценить качество и производительность почтового сервера, работающего под защитой антивирусного плагина Dr.Web.

Ссылки

  1. Печально известный Windows Task Manager