Ćw. 1 Monitorowanie pracy aplikacji w Programie Task Manager

1. Zaloguj się do domeny na konto Adminx.

2. Skopiuj z komputera wykładowcy folder Lab08 (\\london\lab08\) i uruchom Lab08a1.cmd

3. Naciśnij kombinację klawiszy CTRL+ALT+DELETE i uruchom program Task Manager.

4. Na karcie Applications przejrzyj uruchomione programy. Czy na liście znajdują się jakieś procysy systemu operacyjnego?

5. Wybierz kartę Performance. Jakie zasoby są wykorzystywane w największym stopniu?

6. Przejdź na kartę Processes. Który proces wykorzystuje w największym stopniu moc procesora?

7. Z menu View wybierz polecenie Select Columns i zaznacz pola I/O Read Bytes i I/O Write Bytes. Czy aplikacja App1-5 w dużym stopniu wykorzystuje przestrzeń dysku twardego?

8. Zaznacz App1-5.exe i wybierz przycisk End Process.

9. W ten sam sposób zamknij aplikacje App1-1.exe,App1-2.exe, App1-3.exe i App1-4.exe.

Ćw. 2 Obserwowanie aktywności komputera poprzez program Event Viewer

Skorzystaj z programu Event Viewer, aby określić, kiedy twój komputer był ostatnio uruchomiony.

1. Uruchom program Event Viewer z menu Administrative Tools.

2. W drzewie konsoli wskaż System Log.

3. W oknie szczegółów odszukaj najnowsze zdarzenie i otwórz okno jego opisu.

4. Zamknij okno dialogowe Event Properties.

5. Przejrzyj typy zdarzeń występujące w każdym z dzienników.

W systemie W2k usługa dzienników zdarzeń uruchamiana jest automatycznie przy starcie komputera. Czas uruchomienia usługi jest w przybliżeniu czasem uruchomienia komputera.

Ćw. 3 Archiwizacja dziennika aplikacji

1. W drzewie konsoli Event Viewer wskaż Application Log.

2. Z menu Action wybierz Save Log File As.

3. Zapisz dziennik aplikacji w pliku o nazwie yyyy-mm-dd.evt.

4. Z menu Action wybierz polecenie Clear all Events.

5. Wybierz opcję wyczyszczenia komunikatów bez ich zapisywania.

Ćw. 4 Wyszukiwanie określonych zdarzeń w zapisanym dzienniku

1. Otwórz zapisany w pliku Lab08.evt dziennik bezpieczeństwa i sprawdź pierwsze zdarzenie. Uwaga!!! Plik ten znajduje się w katalogu, który był kopiowany z komputera london w ćwiczeniu pierwszym.

Czy sprawdzanie każdego zdarzenia jest najwydajniejszą metodą poszukiwania konkretnych informacji?

2. W drzewie konsoli wskaż Saved Security Log, wybierz polecenie View, a następnie Filter.

3. W sekcji Event types wyczyść wszystkie pola opcji, poza Failure audit i wybierz OK.

4. Wskaż nagłówek kolumny Category, aby posortować zdarzenia.

6. Odszukaj w zapisanym dzienniku zdarzeń nieautoryzowanych prób dostępu do folderu e:\Projects. Sprawdź, który użytkownik podjął próbę dostępu do tego folderu i czy była to tylko jednokrotna próba. Uwaga!!! Zdarzenie o numerze 560 opisuje nieudaną próbę dostępu do zasobów, takich jak plik lub folder.

7. Przeszukaj dziennik bezpieczeństwa w celu stwierdzenia czy użytkownik User1 uzyskał dostęp do folderu e:\projects. Uwaga!!! W sekcji Event types musisz wyczyścić wszystkie pola opcji z wyjątkiem Success audit. Sprawdź czy w polu Event ID znajduje się wartość 560.

Ćw. 5 Zapisywanie dzienników zdarzeń do plików o wybranym formacie

1. Zapisz dziennik bezpieczeństwa z pliku Lab08.evt w formacie tekstowym z separatorami jako SeclogX.csv (x=numer stacji), przejrzyj go następnie w Notatniku i skopiuj do folderu seclog na serwerze london.

Ćw. 6 Monitorowanie aktywności w programie System Monitor

1. Zaloguj się do domeny jako Adminx z menu Administrative Tools uruchom program Performance.

2. W drzewie konsoli zaznacz System Monitor.

3. Z panelu szczegółów wybierz polecenie Add Counters.

4. W polu poniżej opcji Select instances from list upewnij się, że jest wybrana pozycja _Total, a następnie wybierz przycisk Add.

5. Z listy Performance object wybierz Memory i wskaż licznik Available Bytes, wybierz Add.

6. Z listy Performance object wybierz PhysicalDisk i wskaż liczniki %Disk Read Time i %Disk Write Time, wybierz Add

7. Wybierz Close i zminimalizuj okno Performance.

8. Z menu Administrative Tools wybierz polecenie Computer Management.

9. W kontenerze Storage wybierz Disk Defragmenter.

10. W panelu szczegółów wybierz przycisk Analyze.

11. Po zakończeniu analizy defragmentacji dysku wybierz przycisk Close.

12. Zamknij program Computer Management i przywróć okno Performance.

13. W panelu szczegółów wybierz przycisk Freeze Display (czerwone koło z białym znakiem X).

14. Na dole panelu szczegółów, w sekcji Counter, sprawdź czy jest wybrany %Processor Time.

15. Wciśnije klawisz CTRL, a następnie H, aby wyróżnić aktualnie wybrany licznik.

16. Korzystając z przycisków ze strzałkami w górę i w dół, dokonaj przeglądu innych liczników.

17. Na dole panelu szczegółów, w seksji Object, wskaż prawym przyciskiem myszy Memory i wybierz polecenie Properties.

18. W oknie dialogowym System Monitor Properties, na karcie Data, w sekcji Counters sprawdź, czy jest wybrany \\server\Memory\Available Bytes.

19. W polu Scale wybierz najmniejszą dostępną wartość i wybierz OK. Czy użycie pamięci zmieniło się znacznie po uruchomieniu programu Disk Defragmenter?

20. Z panelu szczegółów wybierz przycisk Save as, w polu File Name wpisz System Overview i wybierz Save.

21. Otwórz zapisany plik System Overview.htm i przejrzyj informacje wykorzystując program IE.

Ćw. 7 Ustawianie alertów

1. Dodaj dowolną drukarkę do systemu.

2. W folderze Printers wskaż dodaną drukarkę i wybierz polecenie Use Printer Offline.

3. Przywróć program Performance.

4. W drzewie konsoli rozwiń Performance Loga and Alerts, wskaż Alerts i z menu podręcznego wybierz polecenie New Alert Settings.

5. W oknie dialogowym wpisz Print Queue.

6. W polu Comment wpisz Więcej niż 5 dokumentów oczekujących w kolejce i wybierz Add.

7. W oknie dialogowym Select Counters, w polu Performance object wybierz Print Queue i upewnij się, że na liście Select counters from list wybrana jest pozycja Jobs.

8. Z listy Select instances from list wybierz drukarkę.

9. Wybierz Add, a następnie Close.

10. Z listy Alert when the value is, wybierz Over, a w polu Limit wpisz 5.

11. W sekcji Sample data entry, w polu Interval wpisz 10 i upewnij się, że jednostka miary ustawiona jest na seconds.

12. Upewnij się, że na karcie Action jest zaznaczone pole opcji Log an entry in the application event log.

13. Zaznacz pole opcji Send a network message to i wpisz nazwę swojego serwera.

14. Upewnij się, że na karcie Schedule, w seksji Start scan jest wybrana opcja At i wybierz przycisk Ok.

15. Zminimalizuj okno Performance/

16. Otwórz Notatnik i wydrukuj pusty dokument sześć razy. Zamknij Notatnik.

17. Przywróć okno Performance.

18. W drzewie konsoli wybierz Alerts Print Queue a następnie Stop.

19. Otwórz aplikację Event Viewer i wybierz dziennik Application.

20. W panelu szczegółów otwórz zdarzenie, którego źródłem jest SysmonLog. Przeczytaj opis zdarzenia, zamknij program Event Viewer.

Ćw. 8 Zapisywanie aktywności systemu w dziennikach liczników

1. Przywróć okno Performance.

2. Zaznacz kontener Counter Logs i wybierz polecenie New Log Settings From.

3. Otwórz wcześniej zapisany plik System Overview.

4. W oknie dialogowym New Log settings wpisz Long- term monitoring i wybierz Ok.

5. W oknie Long-term monitoring w polu Counters, że liczniki, które dodałeś w poprzednim ćwiczeniu są wyświetlane.

6. W polu Interval sprawdź czy jest 1 i jednostką miary są sekundy.

7. W drzewie konsoli wybierz Counter Logs, zaznacz Long-term monitoring i wybierz polecenie Start.

8. Zminimalizuj okno Performance.

9. Ustaw wygaszacz ekranu na 3D Pipes i wybierz Preview.

10. Nioe dotykaj myszy i klawiatury przez 10 sekund. Następnie zatrzymaj wygaszacz.

11. Powróć do programu Performance i zastopuj Long term monitoring.

12. W drzewie konsoli wybierz System Monitor

13. W panelu szczegółów wybierz przycisk View Log File Data.

14. W oknie dialogowym Select Log File odszukaj c:\perflogs i wskaż na plik long-term monitoring_000001.blg.

---