Visor de Sucesos y Rendimiento

Introduccin
El visor de sucesos es una herramienta que nos permite observar todos los errores y avisos sobre el sistema, las aplicaciones, la seguridad (previamente activando la auditoria), y los nuevos servicios que vayamos agregando, adems del directorio Activo. Los archivos que registran estas actividades pueden ser configurables en tamao como en la estrategia de la actualizacin del mismo para sobrescribir eventos que son registrados sobre el. Los visores de sucesos categorizar la informacin en cuatro grupos: Error: Indica un problema, prdida de datos o de funcionamiento. Aviso: Indica un posible problema en el futuro. De este estilo pueden ser el disco esta al lmite de llenarse. Informacin: Describe operaciones que se realizan satisfactoriamente. Auditing: Indica todos los eventos de acceso a recursos que son satisfactorios o errneos en funcin de la configuracin de la auditoria. En la interfaz de cualquier visor de sucesos podemos realizar 4 tareas bsicas:

Guardar un archivo de registro En todos los visores se puede guardar la informacin que est generada por ellos. Se guarda en formatos: - evt: solo se puede abrir en el propio visor de sucesos - csv: Texto separado por comas. Se abre con Excel - txt: formato de texto Abrir archivo de registro Con esta opcin abrimos un archivo de registro guardado en formato evt. Deberemos elegir si estamos abriendo un archivo de seguridad, de aplicaciones o de sistema para que se muestre correctamente. Borrar todos los sucesos

Permite vaciar un visor determinado. En el caso del visor de seguridad siempre aparecer un registro con ID 517 informando de quin lo borr Propiedades Desde esta interfaz se puede variar el comportamiento de los visores de sucesos ajustndolo en sus propiedades. Aqu podemos aumentar el tamao del registro tanto como sea necesario o hacer que se sobrescriba ese fichero cada cierto tiempo.

Esta interfaz permite tambin establecer un filtro a la hora de presentar los datos:

Existe una herramienta del Kit de recursos llamada Dumpel.exe que sirve para leer los registros del visor de sucesos remotamente. http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/dumpel-o.asp http://www.tburke.net/info/reskittools/topics/dumpel.htm Tambin podemos crear un script vbs para consultarlo.

Visor de registros de aplicacin

Registra los eventos relacionados con aplicaciones que no estn incluidas en el sistema operativo. Est a disposicin de los desarrolladores de software para que sus aplicaciones generen en l los errores o advertencias de sus programas. Es relativamente sencillo programar aplicaciones que registren sus eventos en este contenedor.

Visor de registros de sistema

Registra los eventos relacionados con las aplicaciones y partes incluidas en el sistema operativo, como por ejemplo la imposibilidad de encontrar un controlador de dominio.

Visor de registros de seguridad

En l se encuentran todas las anotaciones relativas a la seguridad y a su auditora: acceso a objetos, inicios y cierres de sesin Como puede comprobar no existe informacin en el registro de seguridad, ya que para que exista informacin hay que habitar las auditorias sobre la estacin local. Para hacerlo puede acceder a Directivas locales a travs de las herramientas administrativas. Tras habilitarlas compruebe que aparecen los primeros registros de seguridad. Por ejemplo habilite acceso a objetos y luego habilite sobre la carpeta que desee la auditoria para un

usuario o grupo. Compruebe sobre el registro de seguridad en el visor de sucesos si existen registros nuevos tras intentar acceso a objetos. Este registro es de vital importancia. De hecho existe una directiva que fuerza el apagado del equipo si este registro est lleno.

Otros Visores de sucesos

El visor de sucesos contar con muchos otros registros en funcin de los papeles que cumpla el servidor (Active directory, DNS)

Monitor de rendimiento
El monitor de rendimiento es una importante herramienta de mantenimiento y diagnosis para Windows 2000. A travs del administrador de tareas puede tener un resumen del estado del sistema en sus aspectos ms bsicos como son memoria y uso de CPU. Un administrador tiene que tener una herramienta que le muestre detalladamente el funcionamiento del sistema y esa herramienta es el monitor de rendimiento. La consola de Rendimiento se divide en cuatro partes: Monitor de sistema Muestra lo que ocurre en este momento y es el visor para los datos guardados con los registros de contador. Registros del contador Permite la programacin de una auditora de rendimiento a una hora determinada. Registros de seguimiento Genera un fichero que solo se puede leer con unas APIs descargables desde Microsoft. Permite aadir rendimiento a una aplicacin a travs de esas APIs Generamos un fichero con contadores de disco que ser analizado con una aplicacin realizada con APIs de Microsoft Alertas Permite que al ocurrir un evento de rendimiento se ejecuten acciones como un mensaje de consola o el inicio de un determinado registro de contador Envo de mensaje de consola e inicio de un registro del contador para auditar el uso de memoria cuando el procesador pasa del 60% de uso.

Caracterstic as

Ejemplo

Seguimiento del tiempo de procesador actual o desde un fichero guardado con registros del contador

Medir los fallos de memoria entre las 3 y las 6 de la tarde.

5.1 Monitor de sistema

El monitor de sistema es una herramienta de diagnosis que nos presenta informacin de los componentes del sistema que elijamos para su posterior anlisis a travs de un informe en modo texto, grfico o en forma de histograma. Del anlisis posterior pueden depender decisiones importantes acerca de la necesidad de nuevos componentes, para la identificacin de cuellos de botella y posterior optimizacin.

En la parte inferior encontramos la leyenda: Objeto: Un objeto es un conjunto de contadores asociados con un recurso o servicio que puede supervisarse como procesador, memoria, dispositivos, disco Existen cuatro objetos especialmente importantes: Procesador, disco, red y memoria. Contador: Un contador es un elemento del objeto. Podemos decir que un objeto puede tener distintos aspectos que podemos medir por separado. En el objeto procesador tenemos los contadores de tiempo de procesador, interrupciones/s Instancia: Un objeto puede estn presente varias veces en un equipo, en este caso posee varias instancias. Un ejemplo puede ser un equipo con dos procesadores. Habr un registro total de tiempo de procesador pero tambin se podr elegir uno para cada instancia. Tambin dos servicios SQL ejecutndose a la vez conforman dos instancias.

Para aadir un nuevo contador hay que hacer clic en signo suma que se marca en la figura anterior y obtendremos la siguiente pantalla:

En ella iremos eligiendo los objetos, sus contadores y las instancias que queremos registrar. Podemos ayudarnos de una explicacin. A medida que vamos incorporando programas o servicios pueden aparecer nuevos objetos e este men. Por citar un ejemplo, algunos antivirus aaden un objeto y unos contadores para ver lo rpido que buscan virus. Para que los contadores de discos estn activos hay que iniciar diskpref desde la lnea de comandos. Diskperf y [\\nombre del ordenador]. Y se reinicia el sistema. El grfico es la leyenda que vamos obteniendo de los contadores que hemos seleccionado. El grfico es adecuado para llevar a cabo un control de corta duracin. Podemos elegir entre otras opciones de visualizacin pulsando sobre y eligiendo entre:

En funcin de las necesidades y las caractersticas de los contadores utilizados. Desde esta pantalla tambin podemos recuperar datos guardados con los registros del contador:

Pulsamos en el cilindro y elegimos el fichero a presentar. Puede estar en formato binario, CSV o TSV. Por ltimo elegimos los contadores a observar con el botn +.

Solo estarn disponibles los que previamente hayamos configurado en los registros del contador para que se guarden. La exportacin de datos se puede realizar en formato TSV o bien en formato HTM en cuyo caso podemos ver los resultados de forma remota a travs de un navegador. Para guardar los resultados solo hay que hacer clic con el botn derecho en el grfico y elegir guardar como.

5.2 Registros de contador

Estos registros toman informacin del sistema en funcin de los objetos seleccionados de forma cclica a intervalos de tiempo de reloj establecidos en las propiedades del nuevo registro. Son muy tiles cuando queremos tomar varias muestras para medir el rendimiento del equipo. Por defecto existe uno que, adems, no se puede modificar. Si necesitamos otro tipo de contadores podemos crear un registro nuevo. Al crearlo, lo primero es agregarle los contadores que queremos seguir y el intervalo de tiempo entre uno y otro registro:

El siguiente paso es configurar la manera en la que se registrarn esos valores:

El formato en el que se almacena ese archivo puede ser: Archivo binario: formato legible por el monitor del sistema. Archivo binario cclico: Binario que va borrando los primeros registros con los ltimos. CSV: Archivo con formato de comas para base de datos. Legible con Hojas de clculo. TSV: Archivo con formato de tabulaciones para base de datos. Legible con Hojas de clculo. Por ltimo configuramos la manera en la que empezar y finalizar de obtener datos:

Se observa que podemos elegir que ejecute un determinado programa cuando finalice el archivo de registro. Una vez registrado, visualice los datos con el medidor de rendimiento. Esta es una herramienta que todo administrador debe dominar a la perfeccin pues esta es la justificacin para solicitar un ajuste en las caractersticas de los equipos optimizando as la asignacin de recursos.

5.3 Registros de seguimiento

Cuando ocurre el evento, el proveedor enva los datos al servicio de Registros y alertas de rendimiento. Esta grabacin y envo de datos difiere de la operacin de registros del contador; cuando se utiliza registros de contador, el servicio obtiene datos del sistema cuando ha transcurrido el intervalo de actualizacin, en lugar de esperar a un evento especifico. Se requiere una herramienta de anlisis para interpretar la salida del registro de seguimiento. Los desarrolladores pueden crear tales herramientas utilizando interfaces de programacin de aplicaciones (API) proporcionadas en el sitio http://msdn.microsoft.com/.

5.4 Alertas
Es posible aplicar alertas a las medidas efectuadas sobre los objetos de Windows 2000. Cada medida puede desencadenar una alerta en funcin de un umbral mximo o mnimo definido por el administrador. Lo ms interesante es que podemos asociar esas alertas a acciones especficas: envo de un mensaje de advertencia, ejecucin de un programa, registro de un evento o incluso la parada de un proceso. El primer paso al crear una alerta es agregarle los contadores que harn que salte:

En este caso cuando el procesador supere el 80% de carga se ejecutar la siguiente accin. Siguiente paso es la eleccin de la accin:

En nuestro caso, cuando el procesador pasa del 80% se registra un suceso de aplicacin, se enva un mensaje de consola, se inicia un registro de contador de rendimiento que registra la actividad del procesador y la memoria pues un cuello de

botella en el procesador puede memoria, y se ejecuta un script recordar que el registro contador manualmente pero que se pare en paran.

venir dado por una cantidad insuficiente de que enva un mail al administrador. Hay que de rendimiento hay que ponerlo que se inicie un momento determinado pues las alertas no lo

Por ltimo solo queda programar la alerta:

La casilla de iniciar una nueva bsqueda se marca cuando queremos que a pesar de haberse detenido la bsqueda por haber llegado al lmite temporal, necesitamos que se contine buscando indefinidamente al volverse a iniciar la bsqueda. Una buena estrategia puede ser configurar un registro contador que se inicie manualmente y que registre durante 1 minuto la memoria, el disco y el procesador. En la alerta configuraremos que lo inicie si la longitud de la cola del procesador se mantiene por encima de 2 a intervalos de 5 segundos, y configuramos que se inicie una nueva bsqueda al acabar sta.

5.5 Identificacin de los cuellos de botella

1. La memoria En Windows 2000 la parte mas proclive a sufrir cuellos de botella es la memoria RAM. 1.1. Memoria paginada y no paginada. En Windows 2000 la memoria se divide en dos categoras: paginada y no paginada. Los datos almacenados en memoria no paginada estn siempre en la RAM y son datos que corresponden a estructuras internas utilizadas por el sistema operativo. La parte restante de la RAM puede pasar de la RAM al disco y se denomina memoria paginada. 1.2 Memoria virtual En Windows la memoria virtual combina la RAM, el cach del sistema de archivos y una parte de algn disco duro. El cdigo y los datos que no son utilizados se

transfieren al disco cuando la RAM es insuficiente. Cuanta ms memoria falta, ms se usa el disco y ms se ralentiza el sistema. En el caso de que exista un uso muy intensivo del disco y del archivo de paginacin y haya una cantidad de memoria disponible baja, la memoria RAM constituye un cuello de botella. 1.3 Fallos de pginas de hardware Un fallo de pagina se produce cuando los datos que necesita un programa no se encuentran en la memoria fsica y deben ser buscados en la swap (disco duro). - Si Memoria/Fallos de pginas s. >>5 Es un indicador claro de que la memoria es un cuello de botella - Si Memoria/ paginas s. >> 5 Indica el nmero de peticiones de pginas que no estn disponibles de forma inmediata en RAM y que han de buscarse en el disco o bien que estn en RAM y que hay que guardarlas en el disco para liberar espacio de RAM. Si es mayor de 5 la memoria es un cuello de botella. 2. El procesador El grado admisible de carga de un procesador depender de los trabajos que se estn realizando. As un procesador de un servidor de impresin es siempre menos solicitado que el de un servidor de aplicaciones. Las dos causas mas frecuentes de cuellos de botella del procesador son las llamadas efectuadas por las aplicaciones o controladores de dispositivos y un nmero excesivo de interrupciones generadas por discos mal configurados o tarjetas de red defectuosas o mal configuradas. - Procesador/ tiempo de procesador >> 80% Es la medida del tiempo en el que el procesador est ocupado. Cuando este valor se mantiene por encima de 80%, el procesador es un cuello de botella. Si tiene mas de un procesador observe Sistema / % total de procesador >> 80% - Procesador / Interrupciones s. Este valor es muy significativo pero depende del tipo de procesador. Si sube desorbitadamente habr que revisar la configuracin y el estado de los discos y las tarjetas de red. - Sistema / Longitud de cola de espera del procesador >>2 Contabiliza el nmero de peticiones que esperan ser procesadas. Se trata del nmero de threads o hilos de ejecucin que estando listos para ejecutarse, se encuentran en espera porque el procesador no est disponible. 3. El disco 3.1 Activacin de los contadores de disco Los contadores de disco estn activados por defecto. Si no fuese as, es necesario activarlos para poder recabar informacin. Para ello escribiremos en la lnea de comandos: Diskpref y [\\nombreequipo] Tambin se puede usar el modificador ye que hace que el contador acte por debajo de ftdisk.sys permitiendo conseguir datos de los discos de una RAID por separado. Despus es necesario reiniciar el equipo para activar los cambios. Si no va a utilizar los contadores de disco, desactivelos dado que merman el rendimiento. - Disco / %tiempo de disco Indica la tasa de actividad del disco: el tiempo utilizado en leer o escribir una informacin. Si la tasa se aproxima al 100%, el disco se utiliza excesivamente pero el problema puede estar en otro componente como la memoria. - Disco / Longitud de la cola de espera del disco Indica el nmero de peticiones de entrada/salida en espera. Un valor por encima de 2 representa un cuello de botella para el disco. 3.2 Soluciones a los cuellos de botella de los discos Si la conclusin final es que es el disco el que crea ese cuello de botella, contamos con las siguientes soluciones: Aada una controladora mas rpida (SCSI, UWSCSI) o aada una controladora con memoria cach

Aada ms discos si trabaja en un entorno RAID. Descargue al sistema repartiendo a los usuarios en otros equipos.

4. La red Los cuellos de botella de las redes son los mas complicados de analizar pues son muchos los elementos que pueden perturbar el correcto funcionamiento de la red. Los contadores ms habituales son: - Servidor / Total bytes Indica el nmero total de bytes enviados y recibidos por la red. - Servidor / Inicios de sesin s. Indica el nmero de intentos de conexin. Es idneo para controlar el nmero de validaciones de un controlador de dominio. - Segmento de red / %uso de la red Indica el % de ancho de banda de la red local utilizado. Es necesario revisarlo cuando incorporamos un nuevo servidor a la red para ver su impacto. Este contador se aade al mismo tiempo que el agente del monitor de red. Permite activar el modo promiscuo para aceptar todos los paquetes que circulan por el medio con el objeto de analizarlos.

5.6 Otros contadores a observar

Recurso Disco Disco Objeto/contador Disco Fsico/ % Tiempo de Disco Disco Fsico / Lecturas s. Disco Fsico / Escrituras s. Disco Fsico / Longitud actual de la cola del disco Disco Fsico / Long. media de la cola del disco Memoria / Mbytes disponibles Memoria / Paginas s. Memoria / Fallos de s. Archivo de paginacin/ % Uso Procesador / % Tiempo de procesador Procesador / Interrupciones s. Sistema / Longitud de la cola del Lmite 90 % Observaciones El problema puede estar en un uso excesivo de la memoria virtual o por un disco excesivamente lento. En funcin del tipo de disco.

Disco

>2

Memoria Memoria Memoria

<4 Mb 20 >5

Archivo de Paginaci n Procesad or Procesad or Procesad or

99 %

85 % Depende del procesador >2

En este caso habra que aadir memoria Indica falta de memoria o exceso de fragmentacin Indica los datos que se han ido a buscar a la RAM y se han tenido que rescatar del disco. Constituye un cuello en la RAM Revise este valor en conjunto con Mbytes disponibles de memoria y con pginas s. para entender la actividad de paginacin. Necesita otro procesador mas potente o existen procesos que usan demasiado tiempo de procesador Un gran incremento en este valor identifica un error de hardware. Revisar las tarjetas de red Cuello de botella en el procesador. El procesador siempre tiene peticiones pendientes

Servidor

procesador Servidor / Bytes s. Servidor / Carencias de elementos de trabajo 3

Servidor

Si la suma de este valor en todos los servidores es aproximadamente igual al ancho de banda disponible en su red, deber segmentarla Si este valor alcanza el lmite, considere modificar InitWorkItems o MaxWorkItems en el registro ( HKEY_LOCAL_MACHINE \SYSTEM \CurrentControlSet \Services \LanmanServer) Consulte documentacin

Servidor

Servidor

Servidor / Uso mximo de la memoria paginable Colas de trabajo del servidor / Longitud de la cola

Tamao de la RAM 4 Si se alcanza este valor frecuentemente, el procesador puede ser un cuello de botella.

5.7 Gua de implementacin

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server /SAG_MPmonperf_10.asp