डोमेन नियंत्रकों पर "पीकी" सीपीयू उपयोग

हमारे पास दो विंडोज सर्वर 2008 SP2 (दुख की बात है कि 2008 R2 नहीं है) छोटे 150 क्लाइंट डोमेन में डोमेन नियंत्रक जो बहुत "चोटी" सीपीयू उपयोग प्रदर्शित कर रहे हैं। डोमेन नियंत्रक दोनों एक ही व्यवहार प्रदर्शित करते हैं और vSphere 5.5.0, 1331820 पर होस्ट किए जाते हैं। हर दो या तीन सेकंड में सीपीयू का उपयोग 80-100% तक उछलता है और फिर जल्दी से गिर जाता है, एक या दो सेकंड के लिए कम रहता है और फिर ऊपर उठता है। फिर।

वर्चुअल मशीन के ऐतिहासिक प्रदर्शन डेटा को देखने से पता चलता है कि यह स्थिति कम से कम एक साल से चल रही है लेकिन मार्च के बाद से आवृत्ति बढ़ गई है।

अपमानजनक प्रक्रिया SVChost.exe है जो DHCP क्लाइंट (dhcpcsvc.dll), EventLog (wevtsvc.dll) और LMHOSTS (lmhsvc.dll) सेवाओं को लपेट रही है। मैं निश्चित रूप से एक विंडोज इंटर्नल विशेषज्ञ नहीं हूं, लेकिन मैं विशेष रूप से एमिस कुछ भी नहीं ढूंढ सकता हूं जब प्रोसेस एक्सप्लोरर के साथ प्रक्रिया को देखने के अलावा यह दिखाई देता है कि EventLog एक टन आरपीसीबाइंडिंगबाइंड कॉल को ट्रिगर कर रहा है ।

इस बिंदु पर मैं कॉफी और विचारों से बाहर हूं। मुझे इस समस्या का निवारण कैसे करना चाहिए?

TL; DR: EventLog फ़ाइल भरी हुई थी। विंडोज सर्वर 2008 में ओवरराइटिंग प्रविष्टियां महंगी और / या अच्छी तरह से लागू नहीं की गई हैं।

पर @pk। और @joeqwerty सुझाव और आसपास पूछने के बाद, मैंने फैसला किया कि यह सबसे अधिक संभावना है कि एक भूल निगरानी कार्यान्वयन घटना लॉग को स्क्रैप कर रहा था।

मैंने डोमेन नियंत्रक में से एक पर Microsoft का नेटवर्क मॉनिटर स्थापित किया और फ़िल्टर का उपयोग करके MSRPC के लिए फ़िल्टर करना शुरू कर दिया ProtocolName == MSRPC। बहुत सारे ट्रैफ़िक थे लेकिन यह हमारे दूरस्थ साइट के RODC के बीच था और दुर्भाग्य से सुनने के स्थान के रूप में एक ही गंतव्य पोर्ट का उपयोग नहीं किया। अरे! वहां वह सिद्धांत जाता है।

चीजों को सरल बनाने और मॉनिटरिंग सॉफ्टवेयर चलाने में आसान बनाने के लिए मैंने SVLost से EventLog सेवा को बंद करने का फैसला किया। निम्न आदेश और डोमेन नियंत्रक का एक रिबूट EventLog सेवा के लिए एक SVCHost प्रक्रिया को समर्पित करता है। यह जांच को थोड़ा आसान बनाता है क्योंकि आपके पास उस पीआईडी ​​से जुड़ी कई सेवाएं नहीं हैं।

SC config EventLog Type= own

मैंने तब ProcMon का सहारा लिया और उस PID का उपयोग न करने वाली हर चीज़ को बाहर करने के लिए एक फ़िल्टर सेटअप किया। मैंने देखा था कि इवेंटलॉग द्वारा विफल रजिस्ट्री कुंजियों को खोलने के लिए असफल प्रयासों के टन को नहीं देखा गया था क्योंकि यहां संभावित कारण के रूप में संकेत दिया गया था (जाहिर तौर पर भद्दे आवेदन बेहद खराब तरीकों से एक इवेंट स्रोत के रूप में पंजीकृत हो सकते हैं)। मुख्य रूप से मैंने सुरक्षा इवेंट लॉग (C: \ Windows \ System32 \ WinEvt \ Logs \ Security.evtx) के सफल ReadFile प्रविष्टियाँ देखीं।

उन घटनाओं में से एक पर स्टैक पर एक नज़र है:

आप पहले RPCBinding और फिर RPCBindingUnbind को देखेंगे। इनमें से बहुत सारे थे । प्रति सेकंड हजारों की तरह। या तो सुरक्षा लॉग वास्तव में व्यस्त है या Security.evtxलॉग के साथ कुछ सही काम नहीं कर रहा है ।

EventViewer में सुरक्षा लॉग केवल 50-100 ईवेंट प्रति मिनट के बीच लॉग कर रहा था जो इस आकार के डोमेन के लिए उपयुक्त लग रहा था। अरे! वहाँ सिद्धांत संख्या दो जाता है कि हमारे पास बहुत ही क्रियात्मक घटना ऑडिटिंग के साथ कुछ आवेदन था जो एक भूल कोने में बाईं ओर मुड़ गया था, अभी भी कर्तव्यनिष्ठा से दूर जा रहा है। अभी भी बहुत सारे (~ 250,000) ईवेंट दर्ज किए गए थे, हालांकि लॉग इन होने की घटनाओं की दर कम थी। लॉग आकार शायद?

सुरक्षा लॉग - (राइट क्लिक) - गुण ... और अधिकतम लॉग आकार 131,072 KB के लिए सेट किया गया था और लॉग आकार वर्तमान में 131,072 KB पर था। रेडियो बटन 'जरूरत के अनुसार घटनाओं को ओवरराइट' किया गया था। मुझे लगा कि लॉग फ़ाइल में लगातार डिलीट करना और लिखना शायद कठिन काम था, खासकर तब जब यह बहुत भरा हुआ था इसलिए मैंने लॉग को क्लियर करने का विकल्प चुना (मैंने पुराने लॉग को सिर्फ उसी स्थिति में सहेजा जब हमें बाद में ऑडिटिंग के लिए इसकी आवश्यकता होती है) और EventLog सर्विस बनाएं एक नई खाली फ़ाइल। परिणाम: CPU उपयोग लगभग 5% के स्तर पर वापस आ गया।

आप एक छोटा डेटा कलेक्टर सेट बनाकर इसका पीछा करने में सक्षम हो सकते हैं।

• प्रदर्शन मॉनिटर खोलें और एक नया उपयोगकर्ता-परिभाषित डेटा कलेक्टर सेट बनाएं।
• मैन्युअल चुनें (कोई टेम्पलेट नहीं) और केवल ईवेंट ट्रेस डेटा चुनें ।
• सक्रिय निर्देशिका डोमेन सेवा जोड़ें : कोर डेटा और सेट को सहेजें।
• गुण के तहत रोक स्थिति को 1 मिनट में बदलें ।
• सेट शुरू करें और प्रतीक्षा करें।
• जब पूरा हो जाए, तो .etl फ़ाइल को एक .csv का उपयोग करके परिवर्तित करेंtracerpt –l “file.etl” –of CSV
• Excel में सारांश.एक्सवी और डंपफाइल.एससीवी डेटा का विश्लेषण करें । आप अपने विश्लेषण में मदद करने के लिए इस आयात-डीसी-Info.xlsm डॉक्टर को डाउनलोड करना चाह सकते हैं ।

यदि मेरा कूबड़ सही है, तो आप कुछ उपकरणों (आईपी: पोर्ट) को अपने डीसी को हथौड़ा देते हुए देखेंगे।

निश्चित रूप से एक मुश्किल है। केवल इसे छोड़कर (1 सीपीयू / 50% भार .. कौन परवाह करता है?) के अलावा, आप एक नया डोमेन नियंत्रक सेटअप करने की कोशिश कर सकते हैं और कुछ दिनों के बाद देख सकते हैं कि क्या यह आपको समान व्यवहार देता है। यदि ऐसा होता है, तो आप एक Wireshark ट्रेस के साथ प्रयास करना चाह सकते हैं (जाहिर है, इसके बाद नेटवर्क से कुछ होता है)

अगली बात जो दिमाग में आती है वह है माइक्रोसॉफ़्ट की एक साधारण कॉल

ट्रैविस, "संग्रह" ने आपकी मदद नहीं की। वास्तव में, इवेंट लॉग को साफ़ करते समय, जब यह 2/3 था, तब आपकी मदद नहीं की गई थी। लेकिन "संग्रह" ने क्रैगम की मदद की।

kce: ने एक 131MB "ओवरराइट" फाइल को क्लियर किया और 55% o 5% कहने पर परफॉरमेंस ड्रॉप देखा, लेकिन सवाल: शायद आपने अंततः उच्च उपयोग फिर से देखा क्योंकि यह (a) केवल तभी हो सकता है जब ओवरराइटिंग की स्थिति या (b) हो जाए यह रैखिक रूप से खराब हो सकता है क्योंकि क्लियर की गई फ़ाइल 0mb से आकार में 131MB तक बढ़ जाती है।

कुछ इसे सिक्योरिटी के लिए देखते हैं। ईवेक्स और एक ने इसे टास्क शेड्यूलर ऑपरेशनल लॉग के लिए देखा। मेरा सुझाव है कि अपने एवी (जो आप उपयोग कर रहे हैं) और पूरी कोशिश कर रहे हैं। घुसपैठियों को अपनी पटरियों को छिपाने की आवश्यकता होती है और उनके ट्रैक निर्धारित कार्यों में किए जाते हैं जो वे सेट करते हैं या लॉगिन करते हैं। इसलिए वे इन ईवेंट लॉग्स के हैंडल को तोड़कर और अपनी पटरियों पर छोड़ देने के लिए उन्हें फिर से लिखकर अपने ट्रैक छिपाएंगे। हो सकता है कि एवीएस एक छोटी-सी राह में इसका पता लगा रहे हों, क्योंकि अगर यह Microsoft होता, तो इस उच्च उपयोग की अधिक रिपोर्ट की गई होती, लेकिन मैं Googling के दौरान केवल कुछ पोस्ट देख रहा हूं। मैं यह भी देख रहा हूँ 2008. सर्वर पर सुरक्षा के लिए। लॉग। कोई ईवेंट लॉग सब्सक्राइबर नहीं, कोई बाहरी मॉनिटर नहीं। मैंने AV सेवा (McAfee) के एक जोड़े को देखा और उन्हें बहुत दिनों तक एक सर्वर के लिए कुल उपयोग कम था इसलिए मुझे संदेह है कि इसे अनइंस्टॉल किया गया था और केवल आंशिक रूप से ऐसा किया गया था (संभवतः McAfee के विशेष अनइंस्टालर की जरूरत है) और मुझे आश्चर्य है कि इसमें हुक हैं वेस्टीज (या सामान्य रूप से स्थापित) McAfee सेवा या McAfee फ़िल्टर ड्राइवर जो किसी भी तरह से इवेंट लॉग में एक सामान्य लिख लेते हैं और अपने फ़िल्टरिंग में निर्णय लेते हैं कि उन्हें इसे पूरे इवेंट लॉग के पूर्ण विकसित रीड में बदलने की आवश्यकता है। मेरा विश्वास करो, कुछ एवी कंपनियों के तीसरे पक्ष के फिल्टर ड्राइवर Microsoft और इवेंट लॉगिंग के कार्यान्वयन की तुलना में निश्चित रूप से 10000x बुगियर हैं, जो कि बहुत सटीक है। सारांश में, 100% आपके सभी AV और SEE IF समस्या का समाधान करता है। यदि हां, तो अपने AV को ठीक करने के लिए अपने AV कंपनी के साथ काम करें। इसके लिए फ़ाइल अपवाद बनाने की सलाह दी जाती है।

साथ ही, सामन का उपयोग करते समय, WriteFile कॉल पर ध्यान दें क्योंकि संपूर्ण फ़ाइल को पढ़ने के लिए Writefile वह है जो फ़िल्टर प्रबंधक को ट्रिगर करेगा। मेरे मामले में, लिखने के पूरा होने के लगभग 30 सेकंड बाद रीड को शुरू किया गया जो डिजाइन द्वारा हो सकता है। लेकिन यह सुसंगत था और मेरे मामले में फाइल 4GB थी और फाइल में 64K Readfiles शामिल थे, जिसकी लंबाई 64KB थी और इसने इसे पूरा करने के लिए 35% CPU का उपयोग किया। बहुत दुख की बात है।

अद्यतन 03/23/2016 मैंने इस मशीन पर फ़िल्टर ड्राइवरों को देखा, यह निष्कर्ष निकालने के बाद कि उनमें से एक के कारण यह होना चाहिए (ईवेंट लॉग तंत्र कभी भी इस पर छोटा नहीं हो सकता है या इस तरह की रिपोर्ट की संख्या चौंका देने वाली होगी और यह नहीं)। मैंने एवी के कुछ फिल्टर ड्राइवरों को और एक प्रसिद्ध 3 पार्टी कंपनी से देखा, जो आगे की बनावट के साथ वर्चुअल मशीन डिस्क के प्रदर्शन को बढ़ाता है और अपने मुख्य वास्तुकार (जो बहुत दयालु और शालीन था) से पूछा कि क्या उसका उत्पाद पूरी तरह से आक्रामक हो सकता है? सुरक्षा घटना लॉग (जो स्पष्ट रूप से प्रति घोषणा हो रही थी)। यह छोटे सुरक्षा लॉग्स के लिए मददगार होगा, लेकिन यहां बताए गए आकारों में से नहीं। कोई रास्ता नहीं उसने कहा। उन्होंने सहमति व्यक्त की कि यह एवी हो सकता है।

जैसा कि मैंने नीचे अज़ुरे साथी से कहा, हमारे पास मूल पोस्टर से फॉलोअप नहीं है अगर समस्या इवेंट लॉग को क्लियर करने के बाद फिर से सामने आए क्योंकि यह एक सामान्य और गलत समाधान है क्योंकि प्रदर्शन फिर से समय के साथ कम हो जाता है। इसे "फॉलोअप" कहा जाता है और मैं देखता हूं कि पहले-पहल मूल पोस्टर का समाधान उन लोगों को बेवकूफ बना सकता है जो यह नहीं मानते हैं कि उन्होंने समस्या को हल कर लिया है। मैं लगभग मूर्ख हो गया। मैंने इवेंट लॉग को साफ़ कर दिया और प्रदर्शन में सुधार हुआ - लेकिन मैंने इसका इस्तेमाल किया और देखा कि समस्या समय के साथ बढ़ती जाएगी और जब तक समस्याग्रस्त नहीं हो जाती है। किसी कारण से, Azure साथी ने कठोर रूप से मेरी आलोचना की जब मूल पोस्टर ने फॉलोअप नहीं किया (हो सकता है कि उनकी मृत्यु हो गई हो, निकाल दिया गया हो, छोड़ दिया गया हो या व्यस्त हो गया हो)। नीचे दिए गए Azure साथी को लगता है कि यदि मूल पोस्टर का अनुसरण नहीं किया गया है, तो यह एक निश्चित समस्या होनी चाहिए। यह भयावह और हैरान करने वाला है क्योंकि मैं किसी के बारे में नहीं सोच सकता, जो तकनीकी रूप से बहुत उच्च माना जाता है जो इस पद को ग्रहण करेगा। अगर मैं एक तंत्रिका को चुभता हूं तो मैं माफी मांगता हूं। शायद इंटरनेट पर मेरी सक्रियता में कहीं और जहां मैं लोगों को बुलाता हूं मैं उसकी नस पर चढ़ा हूं - यहां (सर्वरफॉल्ट) मैं बस दयालु हूं और गहन तकनीकी ज्ञान साझा कर रहा हूं और श्री अज़ूर का परिणाम इस बात पर जोर दे रहा है कि क्या मेरा तकनीकी योगदान भी है आवश्यक या मेरे कुछ ब्लॉग के लिए है (मेरा ऐसा कोई ब्लॉग नहीं है)। मैं अभी तक Microsoft में लगभग आधा दर्जन प्रमुख क्रोनियों के लिए इस लिंक को भेजने का इरादा नहीं रखता हूं और उनसे पूछ रहा हूं कि इस तरह की एमएसटी कर्मचारी से बदमाशी के साथ क्या हो रहा है क्योंकि मैं एकवचन पर ध्यान केंद्रित कर रहा हूं जिसमें सबसे अच्छा ब्याज है मन में समुदाय और श्री Azure से नीचे प्रतिक्रियाएं, कुछ शब्दों में, अविश्वसनीय, vitriolic, हैं, अनावश्यक और बदमाशी - जो मुझे यकीन है कि कुछ लोग दूसरों को करने का आनंद लेते हैं। मैं शुरू में नाराज था, लेकिन यह खत्म हो गया और यह जान लिया कि, निष्क्रिय या सक्रिय पाठक जो कह रहे हैं, उसकी सराहना करेंगे और मेरी टिप्पणियों की सराहना करेंगे - मैं कानूनी कारणों की परवाह किए बिना इसके पीछे 100% खड़ा हूं कि क्यों यह यहां समान रूप से अनुचित है या नहीं। एम। अज़ूर, कृपया दयालु व्यवहार करें और मेरी टिप्पणियों को खराब रोशनी में डालने से बचें। बस इस पर काबू पाएं और संयम दिखाएं और फिर से टिप्पणी न करें। कृपया दयालुता बरतें और खराब रोशनी में अपनी टिप्पणी देने से बचें। बस इस पर काबू पाएं और संयम दिखाएं और फिर से टिप्पणी न करें। कृपया दयालुता बरतें और खराब रोशनी में अपनी टिप्पणी देने से बचें। बस इस पर काबू पाएं और संयम दिखाएं और फिर से टिप्पणी न करें।

सताना