Мониторинг производительности Windows Server, настройка оповещений счетчиков PerfMon

В этой статье мы рассмотрим особенности использования встроенных счетчиков производительности Performance Monitor для мониторинга состояния Windows Server. Счетчики PerfMon можно использовать для отслеживания изменений определенных параметров производительности сервера (алертов) и оповещать администратора в случае возникновения высокой загрузки или других нештатных состояниях.

Чаще всего для мониторинга работоспособности, доступности, загруженности серверов используются сторонние продукты. Если вам нужно получать информацию о производительности приложений либо железа только с одного-двух Windows-серверов, либо когда это нужно на непостоянной основе, либо возник более сложный случай, требующий глубокого траблшутинга производительности, то можно воспользоваться встроенным функционалом Windows Performance Monitor.

Основные возможности Performance Monitor, которые можно использовать отдельно или совместно с другими сторонними системами мониторинга (типа Zabbix, Nagios, Cacti и другие):

• cистема мониторинга при выводе информации о производительности сначала обращается к Performance Monitor;
• главной задачей системы мониторинга является оповещение о наступлении тревожного момента, аварии, а у Performance Monitor – собрать и предоставить диагностические данные.

Текущие значения производительности Windows можно получить из Task Manager, но Performance Monitor умеет несколько больше:

• Task Manager работает только в реальном времени и только на конкретном (локальном) хосте;
• в Performance Monitor можно подключать счётчики с разных серверов, вести наблюдение длительное время и собранную информацию сохранять в файл;
• в Task Manager очень мало показателей производительности.

Мониторинг производительности процессора с Perfomance Monitor

Для снятия данных о производительности процессора воспользуемся несколькими основными счётчиками:

• \Processor\% Processor Time— определяет уровень загрузки ЦП, и отслеживает время, которое ЦП затрачивает на работу процесса. Уровень загрузки ЦП в диапазоне в пределах 80-90 % может указывать на необходимость добавления процессорной мощности.
• \Processor\%Privileged Time — соответствует проценту процессорного времени, затраченного на выполнение команд ядра операционной системы Windows, таких как обработка запросов ввода-вывода SQL Server. Если значение этого счетчика постоянно высокое, и счетчики для объекта Физический диск также имеют высокие значения, то необходимо рассмотреть вопрос об установке более быстрой и более эффективной дисковой подсистемы (см. более подробную статью об анализе производительности дисков с помощью PerfMon).
• \Processor\%User Time — соответствует проценту времени работы CPU, которое он затрачивает на выполнение пользовательских приложений.

Запустите Performance Monitor с помощью команды perfmon. В разделе Performance Monitor отображается загрузкой CPU в реальном времени с помощью графика (параметр Line), с помощью цифр (параметр Report), с помощью столбчатой гистограммы (параметр Histogram bar) (вид выбирается в панели инструментов). Чтобы добавить счетчики, нажмите кнопку “+” (Add Counters).

Слева направо двигается линия в реальном времени и отображает график загрузки процессора, на котором можно увидеть, как всплески, так и постоянную нагрузку.

Например, вам нужно посмотреть загрузку процессора виртуальными машинами и самим Hyper-V. Выберите группу счетчиков Hyper-V Hypervisor Logical Processor, выберите счетчик % Total Run Time. Вы можете показывать нагрузку по всем ядрам CPU (Total), либо по конкретным (HV LP №), либо всё сразу (All Instances). Выберем Total и All Instances.

Группы сборщиков данных в PerfMon

Чтобы не сидеть целый за наблюдением движения линии, создаются группы сбор данных (Data Collector Set), задаются для них параметры и периодически просматриваются.

Чтобы создать группу сбора данных, нужно нажать на разделе User Defined правой кнопкой мыши, в меню выбрать New -> Data Collector Set. Выберите Create manually (Advanced) -> Create Data Logs и включите опцию Performance Counter. Нажмите Add и добавите счётчики. В нашем примере % Total Run Time из группы Hyper-V Hypervisor Logical Processor и Available MBytes из Memory. Установите интервал опроса счётчиков в 3 секунды.

Далее вручную запустите созданный Data Collector Set, нажав на нём правой кнопкой мыши и выбрав в меню пункт Start.

Через некоторое время можно просмотреть отчёт. Для этого в контекстном меню группы сбора данных нужно выбрать пункт Latest Report. Вы можете посмотреть и проанализировать отчёт производительности в виде графика. Отчёт можно скопировать и переслать. Он хранится в C:\PerfLogs\Admin\CPU_Mon и имеет расширение .blg.

Если нужно на другом сервере запустить такой же набор счётчиков, как на первом, то их можно переносить экспортом. Для этого в контекстном меню группы сбора данных выберите пункт Save Template, укажите имя файла (расширение .xml). Скопируйте xml файл на другой сервер, создайте новую группу сбора данных, выберите пункт Create from a template и укажите готовый шаблон.

Создание Alert для мониторинга загрузки CPU

В определённый критический момент в Performance Monitor могут срабатывать алерты, которые помогают ИТ-специалисту прояснить суть проблемы. В первом случае алерт может отправить оповещение, а во втором – запустить другую группу сбора данных.

Чтобы создать алерт в PerfMon, нужно создать ещё один Data Collector Set. Укажите его имя CPU_Alert, выберите опцию Create manually (Advanced), а затем — Performance Counter Alert. Добавьте счётчик % Total Run Time из Hyper-V Hypervisor Logical Processor, укажите границу загрузки 50 %, при превышении которой будет срабатывать алерт, установите интервал опроса счётчика в 3 секунды.

Далее нужно зайти в свойства данной группы сбора информации, перейти на вкладку Alert Action, включить опцию Log an entry in the application event log и запустить группу сбора данных. Когда сработает алерт, в журнале (в консоли Event Viewer в разделе Applications and Services Logs\Microsoft\Windows\Diagnosis-PLA\Operational) появится запись:

“Performance counter \Processor(_Total)\% Processor Time has tripped its alert threshold. The counter value of 100.000000 is over the limit value of 50.000000. 50.000000 is the alert threshold value”.

Здесь же рассмотрим и второй случай, когда нужно запустить другую группу сбора данных. Например, алерт срабатывает при достижении высокой загрузки CPU, делает запись в лог, но вы хотите включить сбор данных с других счётчиков для получения дополнительной информации. Для этого необходимо в свойствах алерта в меню Alert Action в выпадающем списке Start a data collector set выбрать ранее созданную группу сбора, например, CPU_Mon. Рядом находится вкладка Alert Task, в которой можно указать разные аргументы либо подключить готовую задачу из консоли Task Scheduler, указав её имя в поле Run this task when an alert is triggered. Будем использовать второй вариант.

С помощью Task Scheduler можно выполнить какие-то действия: выполнить команду, отправить письмо или вывести сообщение на экран (сейчас последниед ве функции не поддерживаются, считаются устаревшими (deprecated)). Для вывода на уведомления на экран можно использовать скриптом PowerShell. Для этого в консоли Task Scheduler создайте новую задачу, на вкладке Triggers выберите One time, на вкладке Actions в выпадающем поле Action выбирите параметр Start a program, в поле Program/Script укажите powershell.exe, а в поле Add arguments (optional) следующий код:

-WindowStyle hidden -Command «& <[System.Reflection.Assembly]::LoadWithPartialName('System.Windows.Forms'); [System.Windows.Forms.MessageBox]::Show('Внимание, CPU загружен', 'Посмотреть')>«

Для отправки письма вы можете воспользоваться командлетом PowerShell Send-MailMessage или стороннюю утилиту mailsend.exe.. Для этого создайте аналогичное задание в Task Scheduler, в поле Program/Script укажите полный путь к утилите (у нас C:\Scripts\Mail\mailsend.exe), а в поле Add arguments (optional) через параметры нужно передать значения: электронный адрес, адрес и номер порта SMTP-сервера, текст письма и заголовка, пароль:

-to dep.it@ddd.com -from dep.it@ddd.com -ssl -port 465 -auth -smtp smtp.ddd.com -sub Alarm -v -user dep.it@ddd.com +cc +bc -M «Alarm, CPU, Alarm» -pass «it12345»

где +cc означает не запрашивать копию письма, +bc — не запрашивать скрытую копию письма.

Мониторинг журнала событий Monitor Event Log

Эта версия Orchestrator достигла конца поддержки, мы рекомендуем выполнить обновление до Orchestrator 2019. This version of Orchestrator has reached the end of support, we recommend you to upgrade to Orchestrator 2019.

Действие Мониторинг журнала событий вызывает модули Runbook, когда новые события, соответствующие заданному фильтру, отображаются в журнале событий Windows. The Monitor Event Log activity invokes runbooks when new events that match a filter that you specify appear in the Windows Event Log. Вы можете использовать действие Мониторинг журнала событий для запуска модулей Runbook, которые будут повышать, исследовать или исправлять любые проблемы в ответ на события, создаваемые в журнале событий Windows. You can use the Monitor Event Log activity to run runbooks that will escalate, investigate, or correct any issues in response to events being generated to the Windows Event Log. Например, в журнале безопасности появляется ошибка аудита безопасности, которая отправляет администратору сообщение электронной почты для уведомления о проблеме. For example, a security audit failure appears in the security log which will send an email to an administrator to notify them of the problem. Второй режим вызывает модуль Runbook, когда размер журнала событий Windows достигает максимально допустимого размера. The second mode invokes your runbook when the size of the Windows Event Log reaches the maximum size allowed.

Настройка действия «Мониторинг журнала событий» Configuring the Monitor Event Log Activity

Перед настройкой действия «Мониторинг журнала событий» необходимо определить следующее: Before you configure the Monitor Event Log activity, you need to determine the following:

Имя отслеживаемого журнала событий Name of the event log you are monitoring

Сведения о событиях, которые будут вызывать Runbook Details about the events that will invoke the runbook

Чтобы настроить действие Мониторинг журнала событий, выполните следующие действия. Use the following steps to configure the Monitor Event Log activity.

Настройка действия «Мониторинг журнала событий» To configure the Monitor Event Log activity

В области действие перетащите действие мониторинг журнала событий в модуль Runbook. From the Activity pane, drag a Monitor Event Log activity to the runbook.

Дважды щелкните значок действия » мониторинг журнала событий «, чтобы открыть диалоговое окно » свойства «. Double-click the Monitor Event Log activity icon to open the Properties dialog box.

Настройте параметры на вкладке » сведения » и на вкладке » Дополнительно «. Инструкции по настройке приведены в следующих таблицах. Configure the settings on the Details tab and on the Advanced tab. Configuration instructions are listed in the following tables.

Вкладка «Подробные сведения» Details Tab

Параметры Settings	Инструкции по настройке Configuration Instructions
Компьютер Computer	Введите имя компьютера, на котором хранится журнал событий Windows, который требуется отслеживать. Type the name of the computer that stores the Windows Event Log that you want to monitor. Можно также просмотреть компьютер с помощью кнопки с многоточием (. ) . You can also browse for the computer using the ellipsis (. ) button. Сервер Runbook, выполняющий это действие, должен иметь соответствующие права для отслеживания журнала событий Windows на этом компьютере. The runbook server that runs this activity must have the appropriate rights to monitor the Windows Event Log on that computer.
Журнал событий Event log	Введите имя отслеживаемого журнала событий Windows. Type the name of the Windows Event Log that you are monitoring. Можно также просмотреть журнал событий Windows с помощью кнопки с многоточием (. ) . You can also browse for the Windows Event Log using the ellipsis (. ) button. По умолчанию Windows включает три журнала событий: Application, Security и System. Windows includes three Event Logs by default: Application, Security, and System. Компьютер, к которому вы подключаетесь, может содержать другие журналы событий. The computer that you are connecting to may contain other Event Logs.
Фильтры сообщений Message filters	Список содержит все фильтры, настроенные для фильтрации событий, созданных в указанном журнале. The list shows all the filters that have been configured to filter the events that are generated in the log that you have specified. Чтобы изменить или удалить элемент в списке, выберите его и нажмите кнопку изменить или Удалить , если это применимо. To edit or remove an item in the list, select it and click Edit or Remove as applicable.

Добавление фильтра событий To add an event filter
1. Нажмите кнопку » Добавить «, чтобы открыть диалоговое окно » Свойства фильтра «. 1. Click Add to open the Filter Properties dialog box.
2. Выберите свойство записи журнала событий, для которой выполняется фильтрация. 2. Select the property of the event log entry that you are filtering against. Можно выполнить фильтрацию по категории, описанию, идентификатору события, источнику и типу , который является атрибутом события. You can filter against the Category, Description, Event ID, Source, and Type that is attributed to the event.
3. Укажите отношение, используемое для сравнения значения свойства события со значением фильтра. 3. Specify the relation you are using to compare the value of the event property to the filter value. При выборе категории, описания, типа и источника можно указать, содержит или не содержит. If you select Category, Description, Type, and Source you can specify Contains or Does not contain. Для идентификатора события можно указать значение, отличное от, равно, меньше, меньше или равно, больше или равно. For Event ID you can specify is different than, is equal to , is lower than, is lower than or equals, is more than, and is more than or equals.
4. Укажите значение фильтра, по которому сравнивается свойство события. 4. Specify the filter value that you are comparing the event property against. В поле Категория, Описание и источник введите строку, содержащуюся в свойстве. For Category, Description, and Source, enter the string that is contained within the property. В поле идентификатор события введите числовое значение, которое будет сравниваться с идентификатором события. For Event ID, enter the numeric value that will be compared against the ID of the event. В поле Условие типа выберите тип события, которое требуется отфильтровать, например Ошибка, предупреждение, информация, Аудит успехов или Аудит отказов. For the Type condition, select the specific type of event that you want to filter for such as Error, Warning, Information, Success Audit, or Failure Audit.

Опубликованные данные Published Data

В следующей таблице перечислены опубликованные элементы данных. The following table lists the published data items.