डोमेन नियंत्रकों पर "पीकी" सीपीयू उपयोग


25

हमारे पास दो विंडोज सर्वर 2008 SP2 (दुख की बात है कि 2008 R2 नहीं है) छोटे 150 क्लाइंट डोमेन में डोमेन नियंत्रक जो बहुत "चोटी" सीपीयू उपयोग प्रदर्शित कर रहे हैं। डोमेन नियंत्रक दोनों एक ही व्यवहार प्रदर्शित करते हैं और vSphere 5.5.0, 1331820 पर होस्ट किए जाते हैं। हर दो या तीन सेकंड में सीपीयू का उपयोग 80-100% तक उछलता है और फिर जल्दी से गिर जाता है, एक या दो सेकंड के लिए कम रहता है और फिर ऊपर उठता है। फिर।

DC3 टास्क प्रबंधक प्रदर्शन


वर्चुअल मशीन के ऐतिहासिक प्रदर्शन डेटा को देखने से पता चलता है कि यह स्थिति कम से कम एक साल से चल रही है लेकिन मार्च के बाद से आवृत्ति बढ़ गई है।

DC3 वर्चुअल मशीन का प्रदर्शन



अपमानजनक प्रक्रिया SVChost.exe है जो DHCP क्लाइंट (dhcpcsvc.dll), EventLog (wevtsvc.dll) और LMHOSTS (lmhsvc.dll) सेवाओं को लपेट रही है। मैं निश्चित रूप से एक विंडोज इंटर्नल विशेषज्ञ नहीं हूं, लेकिन मैं विशेष रूप से एमिस कुछ भी नहीं ढूंढ सकता हूं जब प्रोसेस एक्सप्लोरर के साथ प्रक्रिया को देखने के अलावा यह दिखाई देता है कि EventLog एक टन आरपीसीबाइंडिंगबाइंड कॉल को ट्रिगर कर रहा है ।

DC3 प्रोसेस एक्सप्लोरर SVCHost.exe के लिए



इस बिंदु पर मैं कॉफी और विचारों से बाहर हूं। मुझे इस समस्या का निवारण कैसे करना चाहिए?


बस यहाँ spitballing: 1. क्या आपके पास एक मॉनिटरिंग सिस्टम है जो DC के इवेंट लॉग पर सवाल उठाता है? 2. क्या आपके पास किसी भी प्रकार का ऑडिटिंग सक्षम है जो DC की भारी ईवेंट लॉग गतिविधि के लिए अग्रणी हो सकता है?
जोवेवर्टी

1
हाई सीपीयू इवेंट लॉग के लिए Google खोज पर इस थ्रेड के पॉप अप के रूप में झंकार करना चाहता था। यह समस्या अभी भी सर्वर 2012 पर मौजूद है। सर्वर 2012 DC पर ठीक उसी समस्या को हल किया गया है। लॉग फ़ाइल आकार की जाँच करें। डिफ़ॉल्ट लॉग पथ% SystemRoot% \ System32 \ Winevt \ Logs \ Overwrite रेडियो विकल्प बड़े फ़ाइल आकार से निपटने में परेशानी में चलता है। मैं पूर्ण और रोलओवर के लिए लॉग इन करने के लिए मेरा सेट।
क्रेग्म

Google से यहां आने वालों के लिए, यह इवेंट लॉग सेवा समस्या गैर-नियंत्रक विंडोज सर्वर मशीनों पर भी लागू होती है। मेरे मामले में, पर्याप्त उपयोगकर्ताओं के साथ mmc.exe(शायद डिफ़ॉल्ट "सर्वर प्रबंधक" विंडो?) खुले हुए नियमित रूप से स्पाइक्स भी प्राप्त करते हैं।
निकोले

जवाबों:


25

TL; DR: EventLog फ़ाइल भरी हुई थी। विंडोज सर्वर 2008 में ओवरराइटिंग प्रविष्टियां महंगी और / या अच्छी तरह से लागू नहीं की गई हैं।


पर @pk। और @joeqwerty सुझाव और आसपास पूछने के बाद, मैंने फैसला किया कि यह सबसे अधिक संभावना है कि एक भूल निगरानी कार्यान्वयन घटना लॉग को स्क्रैप कर रहा था।

मैंने डोमेन नियंत्रक में से एक पर Microsoft का नेटवर्क मॉनिटर स्थापित किया और फ़िल्टर का उपयोग करके MSRPC के लिए फ़िल्टर करना शुरू कर दिया ProtocolName == MSRPC। बहुत सारे ट्रैफ़िक थे लेकिन यह हमारे दूरस्थ साइट के RODC के बीच था और दुर्भाग्य से सुनने के स्थान के रूप में एक ही गंतव्य पोर्ट का उपयोग नहीं किया। अरे! वहां वह सिद्धांत जाता है।

चीजों को सरल बनाने और मॉनिटरिंग सॉफ्टवेयर चलाने में आसान बनाने के लिए मैंने SVLost से EventLog सेवा को बंद करने का फैसला किया। निम्न आदेश और डोमेन नियंत्रक का एक रिबूट EventLog सेवा के लिए एक SVCHost प्रक्रिया को समर्पित करता है। यह जांच को थोड़ा आसान बनाता है क्योंकि आपके पास उस पीआईडी ​​से जुड़ी कई सेवाएं नहीं हैं।

SC config EventLog Type= own

मैंने तब ProcMon का सहारा लिया और उस PID का उपयोग न करने वाली हर चीज़ को बाहर करने के लिए एक फ़िल्टर सेटअप किया। मैंने देखा था कि इवेंटलॉग द्वारा विफल रजिस्ट्री कुंजियों को खोलने के लिए असफल प्रयासों के टन को नहीं देखा गया था क्योंकि यहां संभावित कारण के रूप में संकेत दिया गया था (जाहिर तौर पर भद्दे आवेदन बेहद खराब तरीकों से एक इवेंट स्रोत के रूप में पंजीकृत हो सकते हैं)। मुख्य रूप से मैंने सुरक्षा इवेंट लॉग (C: \ Windows \ System32 \ WinEvt \ Logs \ Security.evtx) के सफल ReadFile प्रविष्टियाँ देखीं।

ReadFile Security.evtx

उन घटनाओं में से एक पर स्टैक पर एक नज़र है: RpcBindingUnbind

आप पहले RPCBinding और फिर RPCBindingUnbind को देखेंगे। इनमें से बहुत सारे थे । प्रति सेकंड हजारों की तरह। या तो सुरक्षा लॉग वास्तव में व्यस्त है या Security.evtxलॉग के साथ कुछ सही काम नहीं कर रहा है ।

EventViewer में सुरक्षा लॉग केवल 50-100 ईवेंट प्रति मिनट के बीच लॉग कर रहा था जो इस आकार के डोमेन के लिए उपयुक्त लग रहा था। अरे! वहाँ सिद्धांत संख्या दो जाता है कि हमारे पास बहुत ही क्रियात्मक घटना ऑडिटिंग के साथ कुछ आवेदन था जो एक भूल कोने में बाईं ओर मुड़ गया था, अभी भी कर्तव्यनिष्ठा से दूर जा रहा है। अभी भी बहुत सारे (~ 250,000) ईवेंट दर्ज किए गए थे, हालांकि लॉग इन होने की घटनाओं की दर कम थी। लॉग आकार शायद?

सुरक्षा लॉग - (राइट क्लिक) - गुण ... और अधिकतम लॉग आकार 131,072 KB के लिए सेट किया गया था और लॉग आकार वर्तमान में 131,072 KB पर था। रेडियो बटन 'जरूरत के अनुसार घटनाओं को ओवरराइट' किया गया था। मुझे लगा कि लॉग फ़ाइल में लगातार डिलीट करना और लिखना शायद कठिन काम था, खासकर तब जब यह बहुत भरा हुआ था इसलिए मैंने लॉग को क्लियर करने का विकल्प चुना (मैंने पुराने लॉग को सिर्फ उसी स्थिति में सहेजा जब हमें बाद में ऑडिटिंग के लिए इसकी आवश्यकता होती है) और EventLog सर्विस बनाएं एक नई खाली फ़ाइल। परिणाम: CPU उपयोग लगभग 5% के स्तर पर वापस आ गया।


अच्छा काम। इसके अलावा, उत्तर के शीर्ष पर TL? DR को स्थानांतरित करें?
ज़्लातको

सिर्फ FYI करें ... यह हमारे डोमेन नियंत्रकों का एक समूह है, जिनमें से अधिकांश 2012/2012 R2 हैं। इसलिए यह नए विंडोज सर्वर संस्करणों में समान रूप से लागू नहीं होता है।
हॉपलेसएनबीबी

तो यह मेरा मुद्दा है, लेकिन जब मैंने पूर्ण करने के लिए संग्रह पर सेट किया है और लिखना नहीं है। अधिकतम लॉग आकार 1 जीबी और वर्तमान आकार 639 एमबी है। शायद एक परीक्षण के रूप में लॉग को साफ़ करने के अलावा अन्य क्या करना है। यह 2008 R2 Std पर है और PDC और द्वितीयक DC को प्रभावित कर रहा है। दोनों वीएम के हैं। मुझे प्रत्येक डीसी के लिए 2 कुर्सियां ​​/ 1 कोर आवंटित करना था या वे दोनों 1/1 आवंटन बाहर खूंटी करेंगे और किसी भी अधिक जवाब नहीं देंगे। ज्यादा RAM जोड़ने से कुछ नहीं हुआ। यह इस बिंदु पर 60-100% सीपीयू के बीच लगातार उपयोग कर रहा है।
ट्रैविस

सुरक्षा लॉग को सहेजा / साफ़ किया गया। अभी भी 74% CPU उपयोग चल रहा है।
ट्रैविस

5

आप एक छोटा डेटा कलेक्टर सेट बनाकर इसका पीछा करने में सक्षम हो सकते हैं।

  • प्रदर्शन मॉनिटर खोलें और एक नया उपयोगकर्ता-परिभाषित डेटा कलेक्टर सेट बनाएं।
  • मैन्युअल चुनें (कोई टेम्पलेट नहीं) और केवल ईवेंट ट्रेस डेटा चुनें ।
  • सक्रिय निर्देशिका डोमेन सेवा जोड़ें : कोर डेटा और सेट को सहेजें।
  • गुण के तहत रोक स्थिति को 1 मिनट में बदलें ।
  • सेट शुरू करें और प्रतीक्षा करें।
  • जब पूरा हो जाए, तो .etl फ़ाइल को एक .csv का उपयोग करके परिवर्तित करेंtracerpt –l “file.etl” –of CSV
  • Excel में सारांश.एक्सवी और डंपफाइल.एससीवी डेटा का विश्लेषण करें । आप अपने विश्लेषण में मदद करने के लिए इस आयात-डीसी-Info.xlsm डॉक्टर को डाउनलोड करना चाह सकते हैं ।

यदि मेरा कूबड़ सही है, तो आप कुछ उपकरणों (आईपी: पोर्ट) को अपने डीसी को हथौड़ा देते हुए देखेंगे।


1

निश्चित रूप से एक मुश्किल है। केवल इसे छोड़कर (1 सीपीयू / 50% भार .. कौन परवाह करता है?) के अलावा, आप एक नया डोमेन नियंत्रक सेटअप करने की कोशिश कर सकते हैं और कुछ दिनों के बाद देख सकते हैं कि क्या यह आपको समान व्यवहार देता है। यदि ऐसा होता है, तो आप एक Wireshark ट्रेस के साथ प्रयास करना चाह सकते हैं (जाहिर है, इसके बाद नेटवर्क से कुछ होता है)

अगली बात जो दिमाग में आती है वह है माइक्रोसॉफ़्ट की एक साधारण कॉल


-2

ट्रैविस, "संग्रह" ने आपकी मदद नहीं की। वास्तव में, इवेंट लॉग को साफ़ करते समय, जब यह 2/3 था, तब आपकी मदद नहीं की गई थी। लेकिन "संग्रह" ने क्रैगम की मदद की।

kce: ने एक 131MB "ओवरराइट" फाइल को क्लियर किया और 55% o 5% कहने पर परफॉरमेंस ड्रॉप देखा, लेकिन सवाल: शायद आपने अंततः उच्च उपयोग फिर से देखा क्योंकि यह (a) केवल तभी हो सकता है जब ओवरराइटिंग की स्थिति या (b) हो जाए यह रैखिक रूप से खराब हो सकता है क्योंकि क्लियर की गई फ़ाइल 0mb से आकार में 131MB तक बढ़ जाती है।

कुछ इसे सिक्योरिटी के लिए देखते हैं। ईवेक्स और एक ने इसे टास्क शेड्यूलर ऑपरेशनल लॉग के लिए देखा। मेरा सुझाव है कि अपने एवी (जो आप उपयोग कर रहे हैं) और पूरी कोशिश कर रहे हैं। घुसपैठियों को अपनी पटरियों को छिपाने की आवश्यकता होती है और उनके ट्रैक निर्धारित कार्यों में किए जाते हैं जो वे सेट करते हैं या लॉगिन करते हैं। इसलिए वे इन ईवेंट लॉग्स के हैंडल को तोड़कर और अपनी पटरियों पर छोड़ देने के लिए उन्हें फिर से लिखकर अपने ट्रैक छिपाएंगे। हो सकता है कि एवीएस एक छोटी-सी राह में इसका पता लगा रहे हों, क्योंकि अगर यह Microsoft होता, तो इस उच्च उपयोग की अधिक रिपोर्ट की गई होती, लेकिन मैं Googling के दौरान केवल कुछ पोस्ट देख रहा हूं। मैं यह भी देख रहा हूँ 2008. सर्वर पर सुरक्षा के लिए। लॉग। कोई ईवेंट लॉग सब्सक्राइबर नहीं, कोई बाहरी मॉनिटर नहीं। मैंने AV सेवा (McAfee) के एक जोड़े को देखा और उन्हें बहुत दिनों तक एक सर्वर के लिए कुल उपयोग कम था इसलिए मुझे संदेह है कि इसे अनइंस्टॉल किया गया था और केवल आंशिक रूप से ऐसा किया गया था (संभवतः McAfee के विशेष अनइंस्टालर की जरूरत है) और मुझे आश्चर्य है कि इसमें हुक हैं वेस्टीज (या सामान्य रूप से स्थापित) McAfee सेवा या McAfee फ़िल्टर ड्राइवर जो किसी भी तरह से इवेंट लॉग में एक सामान्य लिख लेते हैं और अपने फ़िल्टरिंग में निर्णय लेते हैं कि उन्हें इसे पूरे इवेंट लॉग के पूर्ण विकसित रीड में बदलने की आवश्यकता है। मेरा विश्वास करो, कुछ एवी कंपनियों के तीसरे पक्ष के फिल्टर ड्राइवर Microsoft और इवेंट लॉगिंग के कार्यान्वयन की तुलना में निश्चित रूप से 10000x बुगियर हैं, जो कि बहुत सटीक है। सारांश में, 100% आपके सभी AV और SEE IF समस्या का समाधान करता है। यदि हां, तो अपने AV को ठीक करने के लिए अपने AV कंपनी के साथ काम करें। इसके लिए फ़ाइल अपवाद बनाने की सलाह दी जाती है।

साथ ही, सामन का उपयोग करते समय, WriteFile कॉल पर ध्यान दें क्योंकि संपूर्ण फ़ाइल को पढ़ने के लिए Writefile वह है जो फ़िल्टर प्रबंधक को ट्रिगर करेगा। मेरे मामले में, लिखने के पूरा होने के लगभग 30 सेकंड बाद रीड को शुरू किया गया जो डिजाइन द्वारा हो सकता है। लेकिन यह सुसंगत था और मेरे मामले में फाइल 4GB थी और फाइल में 64K Readfiles शामिल थे, जिसकी लंबाई 64KB थी और इसने इसे पूरा करने के लिए 35% CPU का उपयोग किया। बहुत दुख की बात है।


अद्यतन 03/23/2016 मैंने इस मशीन पर फ़िल्टर ड्राइवरों को देखा, यह निष्कर्ष निकालने के बाद कि उनमें से एक के कारण यह होना चाहिए (ईवेंट लॉग तंत्र कभी भी इस पर छोटा नहीं हो सकता है या इस तरह की रिपोर्ट की संख्या चौंका देने वाली होगी और यह नहीं)। मैंने एवी के कुछ फिल्टर ड्राइवरों को और एक प्रसिद्ध 3 पार्टी कंपनी से देखा, जो आगे की बनावट के साथ वर्चुअल मशीन डिस्क के प्रदर्शन को बढ़ाता है और अपने मुख्य वास्तुकार (जो बहुत दयालु और शालीन था) से पूछा कि क्या उसका उत्पाद पूरी तरह से आक्रामक हो सकता है? सुरक्षा घटना लॉग (जो स्पष्ट रूप से प्रति घोषणा हो रही थी)। यह छोटे सुरक्षा लॉग्स के लिए मददगार होगा, लेकिन यहां बताए गए आकारों में से नहीं। कोई रास्ता नहीं उसने कहा। उन्होंने सहमति व्यक्त की कि यह एवी हो सकता है।

जैसा कि मैंने नीचे अज़ुरे साथी से कहा, हमारे पास मूल पोस्टर से फॉलोअप नहीं है अगर समस्या इवेंट लॉग को क्लियर करने के बाद फिर से सामने आए क्योंकि यह एक सामान्य और गलत समाधान है क्योंकि प्रदर्शन फिर से समय के साथ कम हो जाता है। इसे "फॉलोअप" कहा जाता है और मैं देखता हूं कि पहले-पहल मूल पोस्टर का समाधान उन लोगों को बेवकूफ बना सकता है जो यह नहीं मानते हैं कि उन्होंने समस्या को हल कर लिया है। मैं लगभग मूर्ख हो गया। मैंने इवेंट लॉग को साफ़ कर दिया और प्रदर्शन में सुधार हुआ - लेकिन मैंने इसका इस्तेमाल किया और देखा कि समस्या समय के साथ बढ़ती जाएगी और जब तक समस्याग्रस्त नहीं हो जाती है। किसी कारण से, Azure साथी ने कठोर रूप से मेरी आलोचना की जब मूल पोस्टर ने फॉलोअप नहीं किया (हो सकता है कि उनकी मृत्यु हो गई हो, निकाल दिया गया हो, छोड़ दिया गया हो या व्यस्त हो गया हो)। नीचे दिए गए Azure साथी को लगता है कि यदि मूल पोस्टर का अनुसरण नहीं किया गया है, तो यह एक निश्चित समस्या होनी चाहिए। यह भयावह और हैरान करने वाला है क्योंकि मैं किसी के बारे में नहीं सोच सकता, जो तकनीकी रूप से बहुत उच्च माना जाता है जो इस पद को ग्रहण करेगा। अगर मैं एक तंत्रिका को चुभता हूं तो मैं माफी मांगता हूं। शायद इंटरनेट पर मेरी सक्रियता में कहीं और जहां मैं लोगों को बुलाता हूं मैं उसकी नस पर चढ़ा हूं - यहां (सर्वरफॉल्ट) मैं बस दयालु हूं और गहन तकनीकी ज्ञान साझा कर रहा हूं और श्री अज़ूर का परिणाम इस बात पर जोर दे रहा है कि क्या मेरा तकनीकी योगदान भी है आवश्यक या मेरे कुछ ब्लॉग के लिए है (मेरा ऐसा कोई ब्लॉग नहीं है)। मैं अभी तक Microsoft में लगभग आधा दर्जन प्रमुख क्रोनियों के लिए इस लिंक को भेजने का इरादा नहीं रखता हूं और उनसे पूछ रहा हूं कि इस तरह की एमएसटी कर्मचारी से बदमाशी के साथ क्या हो रहा है क्योंकि मैं एकवचन पर ध्यान केंद्रित कर रहा हूं जिसमें सबसे अच्छा ब्याज है मन में समुदाय और श्री Azure से नीचे प्रतिक्रियाएं, कुछ शब्दों में, अविश्वसनीय, vitriolic, हैं, अनावश्यक और बदमाशी - जो मुझे यकीन है कि कुछ लोग दूसरों को करने का आनंद लेते हैं। मैं शुरू में नाराज था, लेकिन यह खत्म हो गया और यह जान लिया कि, निष्क्रिय या सक्रिय पाठक जो कह रहे हैं, उसकी सराहना करेंगे और मेरी टिप्पणियों की सराहना करेंगे - मैं कानूनी कारणों की परवाह किए बिना इसके पीछे 100% खड़ा हूं कि क्यों यह यहां समान रूप से अनुचित है या नहीं। एम। अज़ूर, कृपया दयालु व्यवहार करें और मेरी टिप्पणियों को खराब रोशनी में डालने से बचें। बस इस पर काबू पाएं और संयम दिखाएं और फिर से टिप्पणी न करें। कृपया दयालुता बरतें और खराब रोशनी में अपनी टिप्पणी देने से बचें। बस इस पर काबू पाएं और संयम दिखाएं और फिर से टिप्पणी न करें। कृपया दयालुता बरतें और खराब रोशनी में अपनी टिप्पणी देने से बचें। बस इस पर काबू पाएं और संयम दिखाएं और फिर से टिप्पणी न करें।

सताना


ऐसा प्रतीत होता है कि आप उन लोगों को संबोधित कर रहे हैं जिन्होंने टिप्पणी की है, न कि ओपी और मूल प्रश्न। और आप एवी को हटाने जैसे सुझाव दे रहे हैं। ओपी ने पहले से ही उनकी समस्या को हल कर दिया, और इसे इवेंट लॉग समस्या के रूप में पहचाना। मैं इसे एक वैध उत्तर के रूप में नहीं देखता हूं।
डेविड माकोगन

यदि आपने पोस्टरों को ध्यान से पढ़ा और मेरे सारांश को यह अनसुलझा था। इस मुद्दे से आपको उनके शब्दों को और अधिक ध्यान से पार्स करने के लिए भुगतना होगा फिर आपने यह किया और देखा। मुझे खेद है कि आप ऐसा करने में असमर्थ हैं और मुझे इतना कठोर निर्णय दिया। उदाहरण के लिए, ओपी ने कहा कि यह 5% पर वापस आ गया है, लेकिन यह आसानी से लॉग को साफ़ करने के बाद वापस आ सकता है और उसने इसका पालन नहीं किया - वास्तव में यह एक और टिप्पणीकार के साथ हुआ। इसलिए कुछ भी हल नहीं किया गया क्योंकि उसने परिणामों को स्थायी रूप से 5% पर सत्यापित नहीं किया।
हैरी

सॉरी हैरी - यह एक जवाब नहीं है; आप छोटी गाड़ी के सॉफ्टवेयर का दावा कर रहे हैं और ओपी को अपनी एंटी-वायरस कंपनी के साथ काम करने के लिए कह रहे हैं। यह आपके व्यक्तिगत ब्लॉग या एक लेख के लिए बहुत अच्छा है, लेकिन एक संपादकीय में एक दो साल पुराने सवाल का जवाब नहीं है, एक मूल कारण एंटी-वायरस से असंबंधित है।
डेविड माकोगन

@ हैरानी की बात है कि मैं फिर से यहाँ फिर से यह पता लगाने की कोशिश कर रहा हूँ :) सिस्टम पर कोई एवी नहीं। मैंने कुछ विंडोज़ अपडेट किए और 1 जीबी से 500 एमबी तक अधिकतम लॉग फ़ाइल को संग्रह में बदल दिया। यहां तक ​​कि 1 जीबी पर यह केवल 8 महीनों में एक बार लुढ़का है जबकि मेरे अन्य डीसी काफी अधिक रोल करते हैं। मैंने लॉग फ़ाइल को तोड़ने के लिए "SC config EventLog Type = own" सुझाव का पालन किया। रिबूट करने के बाद समरूप प्रक्रिया 1% से नीचे चली गई है। "Dhcp और lmhosts" जो कि प्रक्रिया से जुड़ा था, 1% CPU से नीचे है। मैं केवल लगभग 15 सुरक्षा कार्यक्रम / सेकंड दर्ज कर रहा था।
ट्रैविस

मुझे संदेह था कि मेरे पास चल रहे एक एसएसओ एजेंट के पास कुछ करने के लिए था क्योंकि इसमें कई त्रुटियां थीं, लेकिन सेवा को अक्षम करने से रिबूट के बाद भी सीपीयू उपयोग में कमी नहीं हुई। SSO एजेंट का बैकअप होता है और CPU अभी भी कम है इसलिए कौन जानता है।
ट्रैविस
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.