实现精确的性能监控
如果采集的信息存在错误,监控便毫无用处,所以确保数据的准确性是你得采取的第一步。准确性包括许多方面,如互通性、采样窗口、工具架构、虚拟化感知与校准。
互通性。在此讨论中,互通性是性能监控工具的基本功能,能够从数据中心内各种硬件与部件中访问与读取数据源。在部署了同一厂商产品线设备的同质环境内,利用集成在硬件中的内置挂钩,监控工具可以发挥极大优势。通过这些挂钩,工具可以抓取设备的详细运行信息。
在异质环境下,监控则成为了另外一种挑战,因为工具与硬件可能无法很好匹配。产商提供的工具可能可以提供一些硬件部件的特殊信息,而其他工具可能无法保障一致性。第三方性能监控工具可能无法检测每个监控器或硬件的细微差别,它们更依赖于 *** 作系统级的数据,而这些数据通常缺乏足够的颗粒度。在某些情况下,监控数据可能丢失或失真,从而降低系统性能监控的可用性。
工具与硬件之前的数据差异需要全面测试。例如,在购买工具之前,先测试并验证兼容性,在经过较长时间的可用性验证项目后,再开始将工具由测试环境部署至生产环境中。但问题同样从开始购买延伸至未来产品升级或技术刷新周期。当你更换硬件或升级工具,你需要测试监控工具的互通性来确保性能监控工具依旧可以正常工作并提供准确数据。
采样。准确性同样依赖于收集数据用的采样窗口。当负载与运行参数可能一直处于波动状态时,数据准确性将十分重要。理想情况下,性能监控工具可以捕捉整台服务器的运行周期。技巧在于决定运行周期是怎样的。这依赖于每个负载与宿主主机是如何被使用的。例如,每台服务器的内存性能可能需要极快的采样率,而采样窗口需要跨越好几分钟。与此相反,观察某个合作HR系统的CPU使用情况可能需要已较低的频率捕捉数值,但采样窗口周期需要长达30天甚至更长。如何正确采样并没有标准答案,不同属性的 *** 作系统同样需要通过不同的比率与窗口灵活定义。
工具架构。性能监控工具通常需要在受监控系统上安装代理或额外驱动(即使是虚拟机)。代理具有优势也有不足。首先,它们十分有用,因为代理可以收集并传输许多重要信息,比无代理的监控工具提供更多监控参数。尽管如此,代理通常被作为软件客户端,将所有数据报告给中央服务器,中央服务器将收集与处理这些数据。所以每个代理都需要占用一定的计算资源,这可能在一定程度上影响整台服务器的负载性能。
我所在环境下所有计算机拥有两个代理, Chris Steffen,Kroll Factual Data的首席技术架构师说。一个应用程序代理监控我们所有应用程序的健康状况,而且我们还有System Center [Virtual Machine Manager]代理安装在所有虚拟机宿主上。
这些年来,关于代理的负面影响一直在降低,但它们所产生的影响一直在被评估,尤其在执行关键任务或对性能要求十分苛刻的负载上。不仅如此,Steffen同样表示,新兴的监控工具可以提供更多功能,包括自动化安装,重装或维护运行环境中的代理。
虚拟化感知。
虚拟化软件把应用负载从硬件中抽象化。当传统性能监控工具试图在虚拟化环境中报告,抽象层常常发生错误结果,因为老工具是同直接监控硬件,而不是通过控制计算资源的hypervisor。考虑到虚拟化技术的人气和重要性,管理员应该选择能监控虚拟化的监控工具。这样能让性能监控同时管到物理目标和虚拟目标,管理员可以才可以收集到精确的数据。
管理员们有时候还需要采集虚拟机与承载虚拟机的宿主服务器指标,Kleyman说。这种情况下,需要在虚拟化与物理层级别进行性能监控以确保最佳负载性能并保障用户体验。
传感器校准。需要忽视传感器本身的重要性。来自网络交换机或服务器的数字信信号常都是十分准确的。但是某些传感器,例如温度,湿度,空气流或其他环境类型的传感器通常是通过模拟信号传输,可能需要经常校对并定期更换电池来保证其长期稳定的工作。
最大化性能监控工具价值
如果没有正确使用,工具是无法产生价值的。在许许多多的案例中,性能监控工具已经被部署,但是没有清晰的规划来使用与分析所收集到的海量数据。工具则变成了管理员们用来抽查或不定期故障处理的简单工具;这是一种投资浪费。
性能监控工具报告同样可以作为能力规划的基础参考,或协助完成技术刷新项目。性能指标可以帮助展示RIO[投资回报率],Kleyman说。通过了解旧系统性能,并比对新款服务器性能,我们可以决定是否将钱投资在新设备上已提升计算性能并获得更长远的利益。
但Steffen同样建议用户多留个心眼,秉着信任,但要核查的态度来对待性能监控工具,有可能某些服务器监控工具已经被验证,与其他工具相比可以获得十分准确的数值,但如果用来监控网络设备则可能出现一些异常。好的业务决策需要有优质的数据进行支撑,而且若工具无法提供准确、可验证的结果,那样将很难给业务决策提供有力支持。
lg=t最近某司网站主页被篡改了,找师傅帮忙看看怎么回事,师傅没有空就交给我了……我自己这方面没有了解很多。事情结束后,又找师傅问了问关于溯源的技巧经验,于是就有了这篇小结。
看对方的目的是什么,就是最终目标是做什么。然后根据自己经验 看看达到这个目标 需要进行什么 *** 作 逆推回去。看看这些过程都会留下什么日志。
分析网站源码可以帮助我们获取网站被入侵时间, 黑客如何的 IP, 等信息, 对于接下来的日志分析有很大帮助。
可以使用 D 盾查杀是否存在网站后门,如果存在 webshell,记录下该 webshell 的信息。
找到 webshell 后,就可以根据该文件的路径,在日志里查找有关信息,例如访问该文件的 IP、时间等。可以根据这些信息确定网站别入侵的时间,从而缩小搜索范围,运气好了可以直接根据 IP 找到黑客。
diff 工具推荐-diffmerge
可以根据被修改的文件的修改时间,缩小搜索范围。
可以根据文件的排序迅速找到被黑客修改的文件,从而找到入侵时间。
例:查看 10 分钟内修改过的文件
网站日志一般为
根据上一步分析网站源码得到的信息在对日志文件进行筛选分析,因为日志文件会记录很多信息,如果一条一条分析,不是很现实。
web-log 分析工具
系统日志分析
/var/log/wtmp 和/var/run/utmp 两个文件无法直接使用 cat 命令输出,但是可以使用一些命令来查看,比如 w/who/finger/id/last/ac/uptime
该命令查询 /var/log/wtmp 文件并显示 当前 系统中每个用户和它所运行的进程信息:
该命令往回搜索 /var/log/wtmp 文件来显示自从该文件第一次创建以来所有登录过的用户:
如果指明了用户,则该命令只显示该用户的近期活动:
/var/log/lastlog 文件在每次有用户登录时被查询。可以使用 lastlog 命令来检查某特定用户上次登录的时间,并格式化输出上次登录日志 /var/log/lastlog 的内容。它根据 UID 排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog 显示 Never logged(从未登录过)。注意需要以 root 运行该命令:
4 id 用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。 如果一个用户有不止一个登录会话,那他的用户名将显示相同的次数:
检查服务器是否有黑客留下的木马程序。
指令:ps aux|grep ‘pid’
整理完这篇总结,感觉溯源是一个很细节的事情,需要注意每一个细节,这篇总结也可以是一个备忘,以后在遇到溯源的活,做的时候就可以更系统一些。第一次投稿写的不好,师傅们多多指教哈,嘻嘻。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)