Capítulo 12 Monitorización de...

Instalación y configuración 1

Capítu lo 12

Monitor izac ión de recursos

La resolución de gran cantidad de los problemas diarios que se dan en nuestra red así como en nuestros equipos depende en gran manera de los sistemas de monitorización que tengamos implementados.

Si sabemos cómo monitorizar nuestros ordenadores podremos diagnosticar problemas rápidamente y responder a los mismos antes de que sean críticos.

La monitorización nos permite recopilar información detallada sobre el estado de un ordenador o de una red, como el procesador, la memoria, el uso del disco duro, el tráfico servido, etc.

En este capítulo nos centraremos en varias técnicas de monitorización a través de las diferentes consolas suministradas por el sistema operativo:

Monitorización del registro de eventos

Gestión del rendimiento

Recopilación de información de red

Monitor de recursos

Al finalizar el estudio de estas lecciones serás capaz de:

Describir cómo funciona la redirección de eventos.

Configurar ordenadores para soportar la redirección de eventos y crear una suscripción.

Mejorar el rendimiento de los sistemas apoyándote en el monitor de rendimiento, el monitor de confiabilidad y el conjunto de recopiladores de datos.

Descargar e instalar el Monitor de red.

Capturar, filtrar y analizar comunicaciones de red.


Lección 1

Monitor izac ión de eventos

Los sistemas Windows siempre han almacenado mucha información relativa al equipo y sus aplicaciones en los registros de eventos del sistema, pero esta información siempre se almacenaba en registros locales y su manejabilidad era muy limitada para usuarios que no fueran verdaderos expertos en la materia.

La llegada a escena de los sistemas Windows 7 y Server 2008 ha dado un gran giro a estos formatos de registros de información, de tal forma que ahora es posible recopilar eventos de ordenadores remotos (incluyendo los ordenadores que ejecutan Windows XP), y detectar problemas tales como la falta de espacio en disco, antes de que sean mucho más serios.

Al mismo tiempo, tanto Server 2008 como Windows 7, integran nuevos componentes, aplicaciones y herramientas para facilitar el diagnóstico de los muchos registros de eventos que se nos proporcionan.

Redirección de eventos

A través de la redirección de eventos seremos capaces de enviar eventos que coincidan con un criterio determinado a un ordenador que actúe como administrador, de tal manera que podremos centralizar la administración de eventos de una manera sencilla y cómoda.

Esto nos permite ver un único registro y acceder a los eventos más importantes de los ordenadores de cualquier ubicación de nuestra organización, en vez de tener que conectarnos a los registros individuales de eventos de cada equipo.

La redirección de eventos emplea los protocolos HTTP o HTTPS para enviar los eventos desde los equipos de la red a un equipo recopilador o administrador. La diferencia entre el envío a través del protocolo HTTP y el HTTPS hace referencia a la transmisión cifrada o no de la información.

El envío de la información a través de protocolos comunes facilita la integración con los firewalls y proxies que podamos tener en nuestra infraestructura de red.

Para configurar la redirección de eventos es necesario preparar tanto el ordenador que redirecciona como el que recopila. Primero, debemos iniciar los siguientes servicios en ambos ordenadores:

Administración remota de Windows.

Recopilador de eventos de Windows.


Además de los servicios anteriores, es necesario que el ordenador que reenvía permita el protocolo HTTP a través del Firewall de Windows, y también puede crearse una excepción en el Firewall del ordenador que recopila, dependiendo de la técnica de optimización de la entrega.

Únicamente Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2003 R2 pueden actuar como ordenadores para recopilar.

Solamente los ordenadores Windows XP con Service Pack 2 o superior, Windows Server 2003 con Service Pack 1 ó 2, Windows Server 2003 R2, Windows Vista, y Windows Server 2008 pueden actuar como ordenadores que reenvían.

Configurar el ordenador de reenvío

La configuración de un ordenador para que reenvíe eventos exige el seguimiento de los siguientes pasos:

En un símbolo del sistema con privilegios administrativos, ejecuta el siguiente comando para configurar el servicio de Administración remota de Windows: winrmquickconfig

Puedes acceder a la consola de servicios (services.msc), buscar el servicio en cuestión y leer su explicación.

Nota


Windows muestra un mensaje parecido al siguiente tras la ejecución del comando:

Acepta y WinRM configurará el ordenador para que acepte solicitudes WS-Management de otros ordenadores. Dependiendo de la configuración, es posible que tengamos que realizar algunos cambios:

En ordenadores con Windows Vista y Windows 7, hay que configurar el servicio Administración remota de Windows (WS-Management) en Automático e iniciar el servicio (services.msc). El servicio ya está iniciado en equipos Windows Server 2008.

Configurar una escucha HTTP de Administración remota de Windows.

Crear una excepción en el Firewall del sistema para permitir las conexiones entrantes al servicio de Administración remota de Windows usando HTTP.


Una vez ejecutados estos pasos, debemos agregamos la cuenta del equipo que recopila la información, en el grupo lectores del registro de eventos en cada uno de los equipos que reenvían.

Esta operación podemos realizarla de forma manual, de forma automática a través de un script o desde un símbolo del sistema utilizando el siguiente comando:

netlocalgroup "Event Log Readers" <computer_name>$@<domain_name> /add

Por ejemplo, para agregar el ordenador SERVER1 del dominio integra.com, ejecutaremos:

netlocalgroup "Event Log Readers" [email protected] /add

Configurar el ordenador de recopilación de eventos

Para configurar el equipo recopilador de eventos (Vista, Windows 7 o Server 2008), ejecutamos el siguiente comando desde la consola, con eso levantamos el servicio “Recopilador de eventos de Windows”:wecutilqc

Esta excepción sólo se aplica en los perfiles Dominio y Privado; el tráfico seguirá estando bloqueado mientras el ordenador esté conectado a alguna red pública.

Nota


En un equipo con Windows Server 2008 podemos hacer esto desde el nodo “Suscripciones” del Visor de eventos. Se nos pedirá que configuremos el servicio para que se inicie automáticamente como se muestra en la figura.

Crear una suscripción a un evento

Para crear una suscripción a un evento vamos a seguir los siguientes pasos:

Desde el Visor de eventos “Diagnóstico, haz clic con el botón derecho en Suscripciones y selecciona “Crear suscripción”.

Selecciona Sí para configurar el servicio “Recopilador de eventos de Windows”, si no lo has hecho antes. Aparecerá el cuadro de diálogo Propiedades de suscripción.


Escribe un nombre para la suscripción y opcionalmente una descripción.

Podemos crear dos tipos de suscripciones:

Iniciada por el recopilador: El ordenador que recopila contacta con los equipos origen para recuperar los eventos.

Haz clic en el botón Seleccionar equipos.

Agrega los equipos del dominio que desees.

Haz clic en el botón Probar para verificar que el equipo de origen está correctamente configurado.

Si no has ejecutado el comando winrmquickconfig en el equipo de origen, fallará el test de conectividad.

Iniciada por el equipo origen: Los equipos que redireccionan contactan con el equipo recopilador.

Haz clic en Seleccionar grupos de equipos.

Haz clic en Agregar equipo de dominio o en Agregar equipos que no son de dominio para agregar el tipo de ordenador.

Si agregas equipos que no son del dominio, necesitas tener instalado un certificado de equipo.


Haz clic en Agregar certificados para agregar la entidad de certificación (CA) que emitió el certificado de dichos ordenadores.

Pulsa en Seleccionar eventos para abrir el cuadro de diálogo Filtro de consulta y define los criterios con los que deben coincidir los eventos reenviados.

Opcionalmente y desde las opciones avanzadas podemos configurar tres tipos de suscripciones:

Normal: asegura una entrega fiable de los eventos

Elección predeterminada

No conservar ancho de banda

Utiliza un modo de entrega de extracción

El recopilador descarga cinco eventos a la vez

Si pasan 15 minutos descarga todos los eventos disponibles

Minimizar el ancho de banda: reduce el ancho de banda

Enlaces WAN

Redes con muchos equipos

Utiliza el método de entrega impulsado

El ordenador que reenvía contacta con el ordenador para reenviar eventos cada seis horas

Minimizar latencia: los eventos se entregan con un retraso mínimo

Apropiada para recolección de alertas o eventos críticos

Método de entrega impulsado con un tiempo de espera de proceso por lotes de 30 segundos

Acepta y crea la suscripción

De forma predeterminada, se comprueba la existencia de nuevos eventos en cada suscripción cada 15 minutos, aunque podemos disminuir este intervalo para reducir la demora en la obtención de eventos. Sin embargo, no hay una interfaz gráfica para configurar este valor y debemos utilizar la herramienta de línea de comando wecutil.


Para ajustar la demora de la suscripción de eventos, creamos la suscripción y después ejecutamos los dos comandos siguientes en un símbolo del sistema con privilegios administrativos:

wecutilss<subscription name> /cm: custom

wecutilss<subscription=name> /hi:<milliseconds_delay>

Por ejemplo, si creamos una suscripción llamada "Disk Events" y queremos un tiempo de demora de dos minutos, ejecutamos:

wecutilss "Disk Events" /cm: custom

wecutilss "Disk Events" /hi:12000

Por ejemplo, para verificar que el intervalo de la suscripción "Disk Events" es de un minuto, ejecutamos el siguiente comando para ver el valor Heartbeatlnterval:

wecutilgs “Disk Events”

Las opciones Minimizar el ancho de banda y Minimizar latencia crean lotes de un número determinado de elementos cada vez. Podemos determinar el valor de esta opción predeterminada escribiendo el siguiente comando en un símbolo del sistema:

winrmgetwinrm/config

Configurar el reenvió de eventos por https

Aunque el transporte HTTP estándar utiliza cifrado para reenviar eventos, podemos configurar el reenvío de eventos para que emplee el protocolo cifrado HTTPS.

Configurar el ordenador con un certificado de equipo.

Crear una excepción en el Firewall de Windows para el puerto 443 TCP.

Si hemos configurado Minimizar el ancho de banda o Minimizar latencia en la suscripción, también debemos configurar un certificado de equipo y una excepción HTTPS en el Firewall de Windows del ordenador recopilador.

Ejecutar el siguiente comando en un símbolo del sistema con privilegios administrativos: winrmquickconfig -transport:https

En el ordenador recopilador debemos configurar el Protocolo en HTTPS desde la configuración avanzada de la suscripción. Además, el ordenador recopilador debe confiar en la CA que emitió el certificado de equipo.


Lección 2

Gest ión del rendimiento

La monitorización del rendimiento de sistemas y de su confiabilidad es una técnica tremendamente útil en muchísimas ocasiones y que nos permitirá entre otras cosas:

Mejorar el rendimiento de los servidores identificando cuellos de botella.

Identificar el origen de problemas críticos.

Al término de esta lección seremos capaces de mejorar el rendimiento de nuestros sistemas apoyándonos en tres herramientas fundamentales:

Monitor de rendimiento

Monitor de confiabilidad

Conjunto de recopiladores de datos


Monitor de rendimiento

El monitor de rendimiento nos muestra gráficamente los datos de rendimiento en tiempo real incluyendo el uso del procesador, el uso de ancho de banda y muchas otras estadísticas. Veamos su uso fundamental:

En el Administrador del servidor, seleccionamos Diagnósticos Confiabilidad y rendimiento Herramientas de supervisión Monitor de rendimiento.

Agregamos contadores al gráfico en tiempo real haciendo clic en el botón verde de la barra de herramientas. Adicionalmente, es posible mostrar datos de otros equipos de la red.


Cada línea del gráfico es dibujada en un color diferente, si queremos ver resaltada de las demás una línea determinada podemos seleccionar su contador y pulsar la combinación de teclas CTRL-H. De esta forma el contador seleccionado se muestra en color negro y en negrita en el gráfico.


Si queremos cambiar la apariencia y frecuencia de actualización del gráfico, debemos hacer clic con el botón derecho en el Monitor de rendimiento y seleccionar Propiedades. En esta ventana nos encontramos las diferentes opciones de configuración distribuidas en las pestañas que presentamos a continuación.

General: Nos permite actuar sobre los elementos que se muestran en la gráfica, los datos del informe y la frecuencia de las actualizaciones. Si queremos una gráfica más o menos detallada podemos ajustar tanto el tiempo de muestreo como la duración de la muestra.

Origen: Nos permite mostrar en el monitor la actividad en tiempo real o una fuente externa de datos, como un archivo de registro que hayamos guardado usando un Conjunto de recopiladores de datos.


Datos: En la lista de Contadores, seleccionamos el contador que queremos configurar y después, ajustamos Color, Ancho, Escala y Estilo.

Gráfico: por defecto el Monitor de rendimiento empieza a sobrescribir los datos del gráfico por la parte derecha del cuadro después de que se alcanza un período de duración determinado.


Podemos escoger entre diferentes tipos de gráficos haciendo clic en el botón Cambiar tipo de gráfico de la barra de tareas o pulsando CTRL-G:

Línea: La opción predeterminada, muestra los valores a través del tiempo como líneas en el gráfico.

Barra de histograma: Muestra un gráfico de barras con los valores más recientes de cada contador.

Informe: Este informe de texto muestra el valor actual.


Apariencia: Nos permite cambiar las fuentes y los colores, puede ser útil para diferenciar varias instancias del monitor con colores de fondo distintos.

Monitor de confiabilidad

El Monitor de confiabilidad se encarga de realizar un seguimiento de la estabilidad de un sistema. Las medidas que realiza se ajustan entre los valores de 0 (mínima estabilidad) y 10 (máxima).

Dependiendo del tipo de uso que tiene nuestro equipo nos encontramos con índices variables. Cuantas más instalaciones y errores observemos, menor será el índice de estabilidad, que podrá descender hasta el valor mínimo de 0.

El Monitor de confiabilidad es útil para diagnosticar problemas intermitentes y a largo plazo. Con el Monitor de confiabilidad, podemos explorar los posibles fallos de instalación y uso de una aplicación a lo largo de una línea temporal.

Para abrir el Monitor de confiabilidad, seleccionamos el nodo Diagnósticos Confiabilidad y rendimiento Herramientas de supervisión Monitor de confiabilidad en el Administrador del servidor.


El cuadro de la parte superior nos muestra un punto de datos para cada día. Las filas de debajo del cuadro muestran iconos para las instalaciones de software correctas y fallidas, fallos de aplicaciones, fallos de hardware, fallos de Windows y otros fallos.

Si hacemos clic en un día podemos ver sus detalles en el Informe de estabilidad del sistema que se encuentra bajo el cuadro.

El Monitor de confiabilidad usa los datos recopilados por el Componente de Análisis de Confiabilidad (RAC), que se implementa utilizando el archivo RACAgent.exe que se ejecuta una vez cada hora utilizando una tarea oculta programada.

Para ver la tarea programada, diríjase a Configuración Programador de tareas Biblioteca del programador de tareas Microsoft Windows RAC. A continuación, haga clic en el menú Ver y seleccione Mostrar tareas ocultas.


Conjuntos de recopiladores de datos

Los conjuntos de recopiladores de datos recogen información del sistema, incluyendo opciones de configuración y datos de rendimiento, y los almacenan en un archivo de datos.

Luego podemos usar el archivo para examinar los datos en el Monitor de rendimiento o ver un informe que resume toda la información.

Los siguientes apartados describen cómo crear conjuntos de recopiladores de datos y ver los informes generados.

Conjuntos de recopiladores de datos integrados

Windows Server 2008 incluye varios conjuntos de recopiladores de datos ubicados en Conjuntos de recopiladores de datos Sistema

Active Directory Diagnostics (Diagnóstico de Active Directory)

Sólo en controladores de dominio

Registra datos de seguimiento del kernel, datos de seguimiento de Active Directory, contadores de rendimiento y configuración del registro de Active Directory.


LAN Diagnostics (Diagnóstico de LAN)

Registra contadores de rendimiento de la red, datos de configuración de la red y el seguimiento de datos importantes de diagnóstico.

Diagnóstico de problemas de red.

System Performance (Rendimiento del sistema)

Registra contadores de procesador, de disco, de memoria y de rendimiento de la red, además del seguimiento del kernel.

Problemas de baja velocidad del ordenador o problemas intermitentes de rendimiento.

System Diagnostics (Diagnóstico del sistema)

Registra toda la información contenida en el conjunto Rendimiento del sistema, además de información detallada del sistema.

Problemas de confiabilidad como hardware problemático, fallos de controladores o errores de detención.

Proporciona un resumen de las condiciones del error en el sistema sin necesidad de explorar manualmente el Visor de eventos.

Wireless Diagnostics (Diagnóstico de red inalámbrica)

Ordenadores con interfaz inalámbrica

Registra la misma información que el conjunto Diagnóstico de LAN, además de la información necesaria para el diagnóstico de conexiones de red inalámbricas.

Problemas de red que ocurren cuando estamos conectados a una red inalámbrica.

Para emplear un conjunto de recopiladores de datos, haz clic con el botón derecho sobre el mismo y selecciona Iniciar.


Los conjuntos Rendimiento del sistema y Diagnóstico del sistema se detienen automáticamente después de un minuto, el conjunto Diagnóstico de Active Directory se detiene automáticamente después de cinco minutos y los conjuntos Diagnóstico de LAN y Diagnóstico de red inalámbrica se ejecutan hasta que los detengamos.

Tras ejecutar un conjunto de recopiladores de datos, podemos ver un resumen de los datos obtenidos en el nodo Confiabilidad y rendimiento lnformes.


Para ver el informe más reciente de un conjunto de recopiladores de datos, hacemos clic con el botón derecho en el conjunto de recopiladores de datos y seleccionamos Informe más reciente.

Si queremos minimizar el impacto en el rendimiento al registrar datos, debemos registrar la menor cantidad posible de información. Por ejemplo, debemos utilizar Rendimiento del sistema en vez de Diagnóstico del sistema ya que Rendimiento del sistema incluye menos contadores.

Cómo crear un conjunto de recopiladores de datos

Si tenemos un problema de rendimiento y queremos realizar un análisis del funcionamiento del sistema para dar con el problema, podemos crear un conjunto de recopiladores de datos para capturar datos de rendimiento.

Sin embargo, si queremos que nuestro análisis sea útil, debemos crear una directriz para registrar los datos de rendimiento antes de realizar ningún cambio. Después podremos comparar el rendimiento antes y después de los ajustes.

Para crear un conjunto de recopiladores de datos, sigue pasos:

Haz clic con el botón derecho en Conjuntos de recopiladores de datos Definido por el usuario

Selecciona Nuevo y a continuación, Conjunto de recopiladores de datos.


Selecciona crear el nuevo conjunto a partir de una plantilla

Escribe un nombre para el conjunto

Seleccione una de las plantillas estándar:

Active Directory Diagnostics: Recopila información de la configuración y contadores de rendimiento de Active Directory.

Básico: Registra todos los contadores de rendimiento del procesador, almacena una copia de la clave del registro HKLM\Software\Microsoft\WindowsNT\CurrentVersiony realiza un seguimiento del kernel de Windows.

System Diagnostics: Registra 13 contadores de rendimiento (contadores del procesador, disco, memoria y red), almacena una copia de opciones de configuración importantes y realiza un seguimiento del kernel de Windows. De forma predeterminada registra los datos durante un minuto.

System Performance: Registra 14 contadores de rendimiento útiles (incluyendo los registrados por la plantilla System Diagnostics) y realiza un seguimiento del kernel de Windows. Registra los datos durante un minuto.

Acepta la ubicación predeterminada (%systemdrive%\PerfLogs\Admin\).

Selecciona Ejecutar como en <Predeterminado> para ejecutar la creación del conjunto de recopiladores usando las credenciales del usuario actual o haz clic en el botón Cambiar para especificar otras credenciales de administrador.

Seleccione una de las tres opciones antes de hacer clic Finalizar:

Abrir propiedades para este conjunto de recopiladores de datos (personalización).


Iniciar ahora este conjunto de recopiladores de datos.

Guardar y cerrar


Los conjuntos de recopiladores de datos están disponibles bajo el nodo Definido por el usuario dentro de Conjuntos de recopiladores de datos.

Cómo personalizar un conjunto de recopiladores de datos

De forma predeterminada, un conjunto de recopiladores de datos sólo registra los orígenes de datos definidos en la plantilla que seleccionamos. Para agregar nuestros propios orígenes de datos debemos actualizar el conjunto después de crearlo.

Para agregar otros orígenes de datos:

Haz clic con el botón derecho en el conjunto de recopiladores que quieres modificar

Selecciona Nuevo y escoge Recopilador de datos

Escriba un nombre para el recopilador

Elige entre los siguientes tipos:

Recopilador de datos de rendimiento: Registra datos de cualquier contador de rendimiento disponible.

Recopilador de datos de seguimiento de eventos: Almacena eventos de un proveedor de seguimiento de eventos que coincida con un filtro determinado.


Recopilador de datos de configuración: Almacena una copia de determinadas claves del registro, de rutas de administración de Windows Management Instrumentation (WMI), archivos o el estado del sistema.

Alerta de contador de rendimiento: Genera una alerta cuando un contador de rendimiento está por encima o por debajo de un valor determinado.

A continuación podemos ver las diferentes pantallas por las que pasamos para personalizar nuestro conjunto de recopiladores de datos.


Podemos agregar tantos recopiladores de datos a un conjunto de recopiladores de datos como sean necesarios.

Para editar un recopilador de datos:


Selecciona el conjunto de recopiladores de datos dentro del nodo Conjuntos de recopiladores de datos Definido por el usuario.

Haz clic con el botón derecho en el recopilador de datos.

Selecciona Propiedades.

Una vez creado el conjunto recopilador de datos debemos iniciarlo.

Después de lanzar el conjunto de recopiladores de datos para obtener información y tras detenerlo, podemos ver un resumen de la información capturada haciendo clic con el botón derecho en el conjunto y seleccionando Informe más reciente.

Podemos expandir cada apartado para encontrar información más detallada. Si el conjunto incluye contadores de rendimiento, podemos verlos usando el Monitor de rendimiento, haciendo clic con el botón derecho en el informe y seleccionado Ver.

El Monitor de rendimiento mostrara ahora los datos registrados en vez de los datos en tiempo real.

Para contraer el intervalo de tiempo mostrado, haz clic y arrastra el cursor a través del gráfico para seleccionar un intervalo de tiempo. A continuación haz clic con el botón derecho en el rango de tiempo y selecciona Zoom.

La barra horizontal que se encuentra bajo el gráfico muestra el intervalo de tiempo seleccionado. Arrastra los lados de la barra para expandir el intervalo de tiempo. Haz clic con el botón izquierdo del ratón en el gráfico y vuelve a seleccionar Zoom para cambiar la selección.


Lección 3

Monitor izac ión de red

La resolución de problemas relacionados con la red exige el análisis detallado del tráfico que generan y cursan nuestros equipos. Una de las mejores formas de alcanzar soluciones es capturar y analizar las tramas y paquetes que viajan por la red, utilizando un analizador de protocolo.

Microsoft proporciona el Monitor de red, un analizador de protocolos potente y gratuito que nos permite acceder a las cabeceras de la pila de protocolos TCP/IP.

En esta lección explicamos cómo utilizar el Monitor de red para registrar y analizar el tráfico de red.

Monitor de red: instalación

El Monitor de red no está incluido en las instalaciones de Windows, pero está disponible desde el Centro de Descargas de Microsoft en la url: http://www.microsoft.com/downloads. Después de visitar esta página, buscamos el software "Network monitor" y lo descargamos a nuestro equipo.

La instalación se basa en el Instalador de Windows y usa una interfaz estándar de asistente.


El proceso de instalación agrega el Network Monitor 3Driver en cada adaptador de red, incluidos los adaptadores de acceso remoto y VPN.

Si no agregamos este controlador el Monitor de red no podremos capturar datos del tráfico de la red.

Captura y análisis del tráfico de red

Para iniciar y capturar tráfico con el Monitor de red, sigue estos pasos:

Arranca el Monitor de red desde: Inicio Todos los programas Microsoft Network Monitor 3.4 (en nuestra versión actual)

En la página de inicio del programa, selecciona del panel de redes (SelectNetworks), los adaptadores que quieres monitorizar.


Configura las opciones del adaptador concreto desde el botón de propiedades (Properties).

Para las conexiones de red cableadas, podemos activar el P-Mode (modo promiscuo) para capturar tramas de datos enviados a otros equipos diferentes al nuestro.(Esto no funcionará en redes conmutadas, sólo en redes basadas en hubs)

Para conexiones inalámbricas podemos cambiar al Monitor Mode, que funciona de forma parecida al P-Mode en las conexiones inalámbricas.


Crea una nueva pestaña de captura (Create: New capture tab).


Haz clic en el botón Start Capture

El Monitor de red comenzará a capturar tráfico nos lo mostrará en el panel de resumen de tramas (Frame Summary).

Desde el menú de opciones (Options) de la esquina superior izquierda o desde el menú contextual de Herramientas (Tools), accedemos a la configuración de nuestro monitor de red.

La pestaña Capture, nos permite configurar opciones relacionadas con el archivo de capturas, podemos seleccionar el tamaño del archivo temporal y dónde se almacenará.

También nos permite realizar un seguimiento de las sesiones capturadas y una asociación del tráfico capturado distribuido por procesos, para ello debemos habilitar la casilla de verificación “Permitir Conversaciones” (Enabble Conversations) y mostrar el árbol de procesos.


El Monitor de red sólo puede capturar el tráfico que recibe el adaptador de red que tiene directamente vinculado.

La inmensa mayoría de redes actuales están gestionadas a través switches, esto es, se trata de redes conmutadas de capa 2. En estos casos, la información sólo es enviada a los equipos involucrados en una comunicación, y el resto de equipos en la red no son capaces de ver ese tráfico.

Esta es la razón de que, aunque activemos el P-Mode en nuestra interfaz, el monitor de red no pueda capturar tráfico que no vaya dirigido a una de sus interfaces vinculadas.

Aunque la situación descrita anteriormente es la habitual, podemos encontrarnos casos en los cuales somos capaces de acceder a todo el tráfico de la red.

Se trata de redes en las que el equipo de conmutación (switch) tiene configurado uno de sus puertos como puerto de monitorización, permitiendo recibir por el mismo una copia de todo el tráfico que atraviesa el equipo.

Si podemos conectar nuestro Monitor de red a un puerto de estas características podremos analizar todo el tráfico de nuestra red.


También habrá casos en los que la red de comunicaciones está formada por hubs, que distribuyen el tráfico por todos sus puertos de igual manera, en estos entornos podremos conectar nuestro Monitor a cualquier puerto del equipo y analizar también la totalidad del tráfico.

Captura desde el símbolo del sistema

Si queremos capturar el tráfico de red, sin necesidad de hacer uso de la consola gráfica del Monitor de red, podemos hacerlo desde un símbolo del sistema de Windows (cmd).

Para ello, accedemos a la carpeta de instalación del Monitor de red (C:\Program Files\Microsoft Network Monitor 3) y ejecutamos el siguiente comando:

NMCap /network * /capture /file fich.cap

Esto captura el tráfico de todas las interfaces de red y lo guarda en un archivo. Cuando queramos para la captura tendremos que pulsar la combinación de teclas CTRL+C.

Si queremos ver el contenido de la captura, podemos pasar a analizar el fichero con el Monitor de red o con un analizador de tráfico de terceras partes (Wireshark).

Si queremos emplear un filtro de captura desde la utilidad de línea de comando, debemos escribir el filtro de captura entre comillas despuésdel parámetro /capture. Por ejemplo, el siguiente comando sólo capturará tráfico DNS:

NMCap /network* /capture "DNS" /file fich.cap

Para capturar en P-Mode usaremos el parámetro /DisableLocalOnly:

NMCap /network * /DisableLocalOnly /capture /file fich,cap

Si tenemos que capturar tráfico en un ordenador que no tiene instalado el Monitor de red, podemos hacer uso de la herramienta portable “Network Monitor OneClick”, disponible a través de la página de descargas de Microsoft.


Analizar el tráfico capturado

Después de crear una captura, podemos analizar el tráfico a través del panel “FrameSummary” donde tenemos a nuestra disposición los datos que hemos capturado. Podemos seleccionar cualquier paquete para ver los datos que contiene.

El panel “FrameDetails” resume los datos de la trama (frame) y el panel “HexDetails” muestra los datos en bruto.

Como puede ver examinando la capa HTTP del frame, este frame estaba solicitando el archivo /downloads/ del anfitrión www.microsoft.com.

Para proporcionar más área de visión, puede hacer clic con el botón derecho en cualquier frame del panel FrameSummary y seleccionar ViewSelecteFrame(s) In A New Windows.


Filtrar los datos de la red

Un servidor ocupado puede transmitir cientos de tramas en un segundo dificultando el aislamiento de determinadas tramas que necesitemos analizar. Para definir claramente los datos, podemos emplear un filtro de captura (filtra mientras captura) o un filtro de visualización (filtra tras la captura).

Debemos crear filtros de captura antes de empezar a capturar datos. Si desea filtrar datos de una captura existente, cree un filtro de visión.

Para crear un filtro utilizando los filtros estándar, en el panel Capture Filter o DisplayFilter haga clic en el botón Load Filter. A continuación, seleccione Standard Filters y seleccione uno de los filtros integrados. Finalmente, haga clic en el botón Apply. Los filtros más útiles incluyen:

BaseNetworkTShoot: Sólo muestra frames relacionados con problemas de la red a bajo nivel, incluyendo reinicios ICMP, ARP Y TCP. Utilice este filtro si está experimentando problemas generales de red y desea probar e identificar el equipo que está causando los problemas.

Broadcasts and No-Broadcasts: Broadcasts solo muestra frames de difusión. No-Broadcasts elimina todos los frames de difusión.

DNS: Sólo muestra tráfico DNS.

NameResolution: Muestra todo el tráfico de resolución de nombre, incluyendo resolución de nombre DNS, NetBlOS y solicitudes ARP.

HttpWebpageSearch: Muestra solicitudes para determinadas páginas Web. Esto es útil para determinar qué ordenadores de una red están solicitando una página determinada, particularmente si la página que está buscando es una ruta deformada que puede estar involucrada en un ataque a un servidor Web.

MylPv4Address and MylPv6Address: Sólo muestra solicitudes enviadas a o desde el ordenador actual

Pv4Address, IPv4DestinationAddress, IPv4SourceAddress, IPv4SourceAndDestination: Sólo muestra solicitudes enviadas a o desde determinadas direcciones IPv4.

IPv6Address, IPv6DestinationAddress, IPv6SourceAddress: Sólo muestra solicitudes enviadas a o desde determinadas direcciones IPv6.

IPv4SubNet: Sólo muestra solicitudes enviadas a o desde una determinada subred.

Muchos filtros estándar requieren que se editen. Por ejemplo, si agrega el filtro estándar IPv4DestinationAddress, tendrá que cambiar la dirección IPv4 de ejemplo por la dirección IPv4 que desea filtrar.

Puede crear filtros más complejos combinando varios filtros estándar utilizando operadores binarios. Separando dos filtros con el operador && requiere que los frames coincidan con los dos filtros, mientras que separar dos filtros con los operadores || muestra los frames que coinciden con cada filtro. Puede utilizar paréntesis para agrupar varios parámetros. Ponga el prefijo de un cierre de


exclamación a un parámetro para capturar tráfico que no coincida con el parámetro. Por ejemplo, el filtro “!(tcp.port== 3389)” captura todo el tráfico excepto el de Escritorio Remoto (que utiliza el puerto 3389 TCP) lo cual es útil cuando inicia sesión en un ordenador de forma remota para capturar tráfico. Por ejemplo, si fuese a capturar tráfico en un servidor DNS, el siguiente filtro mostraría todo el tráfico DNS desde el equipo que se encuentra en 192.168.10.123:

DNS && IPv4.SourceAddress == 192.168.10.123

El siguiente filtro capturaría todas las solicitudes Web de una página llamada Page1.htm ó Page2.htm:

contains (Http.Request.URI,"Page1.htm") || contains (Http.Request.URI, "Page2.htm")

Si tiene una captura existente, puede crear un filtro de visión basándose en un frame existente haciendo clic con el botón derecho en el frame dentro de la ventana FrameSummary y seleccionando AddCellToDisplayFilter. A continuación haga clic en Apply. El Monitor de red sólo mostrará frames que coincidan con la descripción exacta.

Cuando cree filtros personalizados, utilice el botón Verify para comprobar que la sintaxis es correcta. El panel DisplayFilter marcará los errores y le permitirá corregirlos. Para información detallada acerca de crear filtros personalizados vea el epígrafe "UsingFilters" en la ayuda del Monitor de red.


Lección 4

E l monitor de recursos

La nueva cara del monitor de recursos del sistema aparece en las versiones de Windows 7 y Windows Server 2008 R2, aunque la versión Windows Server 2008 ya incorpora un monitor de confiabilidad y rendimiento que nos permite realizar tareas del mismo estilo, aunque con algo menos de detalle en el filtrado.

El Monitor de recursos de Windows es una herramienta eficaz para comprender el modo en que los procesos y servicios usan los recursos del sistema. Además de supervisar el uso de los recursos en tiempo real, el Monitor de recursos puede ayudarnos a analizar los procesos que no responden, a identificar qué aplicaciones usan los archivos y a controlar los procesos y servicios.

Windows 7 y Windows Server 2008 R2 utilizan el componente Análisis de confiabilidad integrado para calcular un índice de confiabilidad, que proporciona información sobre el uso total del sistema y la estabilidad a lo largo del tiempo.

El Monitor de recursos muestra información por proceso y agregada del uso de CPU, memoria, disco y red, además de proporcionar detalles sobre qué procesos están utilizando los módulos e identificadores de archivos individuales.

La característica de filtrado avanzado permite a los usuarios aislar los datos relacionados con uno o más procesos (ya sean aplicaciones o servicios), iniciar, detener, pausar y reanudar servicios, y cerrar las aplicaciones sin respuesta de la interfaz de usuario.


El monitor de recursos de Windows7 y Windows Server 2008 R2 es ligeramente distinto al monitor que nos encontramos en nuestro Windows Server 2008, pero a nivel funcional son prácticamente iguales si no entramos en detalles.

Se trata de una utilidad de administración del sistema que nos presenta información sobre la actividad del CPU, del Disco Duro, de la Red y de la Memoria, muy útil para saber qué proceso es el que está consumiendo la memoria de nuestro equipo cuando una aplicación parece colgarse.

Cuando un programa no responde, podemos fijarnos en la pestaña de CPU y hacer clic en “Analizar cadena de espera”, de esta forma sabremos el motivo por el cual el programa se encuentra “colgado” y podemos intentar solucionarlo.

Para arrancar el monitor de recursos podemos escribir “RESMON” directamente o buscar por su nombre, “Monitor de recursos”.

Una de las grandes ventajas del monitor respecto a la consola de administración de tareas es la posibilidad de filtrar la información mostrada. Para ello simplemente seleccionamos el proceso o los procesos que queremos visualizar y automáticamente la vista queda filtrada.

La primera pestaña que aparece es Información general, en la que vemos una lista de procesos en ejecución en la CPU, uso de disco, memoria y red, similar a lo que obteníamos con Windows Vista.


Además del filtrado por procesos, realmente las novedades las encontramos en cada una de las otras etiquetas superiores (CPU, Memoria, Disco y Red).

En la etiqueta CPU podremos ver y analizar no solo los procesos activos en tiempo real, sino los servicios asociados al proceso, los módulos cargados en memoria y los manejadores (handles) de eventos como el acceso al registro.


Desde el punto de vista de la memoria, ahora la consola nos presenta un gráfico con los datos de uso de la memoria, con actualización en tiempo real a medida que se van utilizando recursos.

Las secciones de uso de memoria se dividen en:

Reservado para Hardware: Memoria que se reserva para el uso de la BIOS y controladores de dispositivos.

En uso: Memoria utilizada actualmente por procesos, drivers, funciones del sistema operativo y bloques de memoria no paginadas.

Modificada: Región de memoria que debe escribirse en el disco antes de que sea utilizable por otro proceso.

En espera: Datos y código en cache que actualmente no se está utilizando.


Libre: Región de memoria que no contiene datos o no son válidos para ningún proceso y que se utilizará a medida que sea necesario.

Desde el punto de vista del disco, la consola nos proporciona información detallada de los procesos que están haciendo uso de los discos del sistema, además de los archivos abiertos por cada proceso. Al igual que con las anteriores vistas, podremos filtrar la información por proceso.

Por último, la vista de red, nos aporta información detallada de la actividad y las conexiones remotas en tiempo real, además de los procesos que tienen puertos escuchando en el sistema.

Lo interesante de esta vista, es que podemos analizar rápidamente, qué procesos tienen conexiones abiertas, la tasa de transferencia, la dirección IP remota, y el estado del firewall con respecto a un proceso local a la escucha. Todo en una única pantalla.


Terminal Services y el Administrador de recursos del sistema

El Administrador de recursos del sistema de Microsoft® Windows® (WSRM) en Windows Server® 2008 permite controlar cómo se asignan los recursos de la CPU y la memoria a las aplicaciones, los servicios y los procesos del equipo. Administrar los recursos de esta manera mejora el rendimiento del sistema y disminuye la probabilidad de que las aplicaciones, los servicios o los procesos tengan conflictos con los recursos de la CPU o la memoria, cuya consecuencia sería ralentizar el rendimiento del equipo. La administración de recursos también crea una experiencia más constante y predecible para los usuarios de los servicios y aplicaciones que se ejecuten en el equipo.

Puede usar WSRM para administrar varias aplicaciones del mismo equipo o los usuarios de un equipo donde esté instalado Terminal Services.

La capacidad para administrar aplicaciones o usuarios mediante WSRM en un servidor de Terminal Server en Windows Server 2008 puede interesar a las organizaciones que actualmente usen Terminal Services o tengan interés en usarlo. Terminal Services ofrece tecnologías que habilitan el acceso, desde prácticamente cualquier dispositivo de computación, a un servidor que ejecute programas basados en Windows o el escritorio completo de Windows. Los usuarios pueden conectarse a un servidor de Terminal Server para ejecutar programas y usar los recursos de red de dicho servidor.

WSRM para Windows Server 2008 ahora incluye una directiva de asignación de recursos Igual por sesión.

Para administrar aplicaciones o usuarios con WSRM en un servidor de Terminal Server de Windows Server 2008, necesita lo siguiente:


Instalar el servicio de la función Terminal Server.

Instalar WSRM.

Configurar WSRM para Terminal Services.

Instalación de WSRM

Para instalar WSRM:

Abra Administrador de servidores. Haga clic en Inicio, en Herramientas administrativas y, a continuación, haga clic en Administrador de servidores.

En Resumen de características, haga clic en Agregar características.

En la página Seleccionar características, active la casilla Administrador de recursos del sistema de Windows.

Se abrirá un cuadro de diálogo para informarle de que, para que WSRM pueda funcionar correctamente, también debe instalar Windows InternalDatabase. Haga clic en Agregar características requeridas y, a continuación, haga clic en Siguiente.

En la página Confirmar selecciones de instalación, compruebe si está seleccionada la instalación de Windows InternalDatabase y del Administrador de recursos del sistema de Windows y, a continuación, haga clic en Instalar.

En la página Resultados de la instalación, confirme la correcta instalación de Windows InternalDatabase y del Administrador de recursos del sistema de Windows y, a continuación, haga clic en Cerrar.

Después de instalar WSRM, debe iniciar el servicio Administrador de recursos del sistema de Windows.

Para iniciar el servicio Administrador de recursos del sistema de Windows:

Abra el complemento Servicios: haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Servicios.

En el cuadro de diálogo Servicios, en la columna Nombre, haga clic con el botón secundario en Administrador de recursos del sistema de Windows y después en Iniciar.

Configuración de WSRM para Terminal Services

Para configurar WSRM, use el complemento Administrador de recursos del sistema de Windows.


Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador de recursos del sistema de Windows.

En el cuadro de diálogo Conectar con el equipo, haga clic en Este equipo y, a continuación, haga clic en Conectar para que el Administrador de recursos del sistema de Windows administre el equipo que esté usando.

Directivas de asignación de recursos

WSRM usa directivas de asignación de recursos para averiguar cómo se asignan los recursos del equipo, como la CPU y la memoria, para los procesos ejecutados en el equipo. Hay dos directivas de asignación de recursos diseñadas específicamente para los equipos que ejecutan Terminal Services, que son:

Igual por usuario

Igual por sesión

Si implementa la directiva de asignación de recursos Igual por sesión, cada sesión de usuario (y sus procesos asociados) obtiene una cuota idéntica de los recursos de la CPU en el equipo.

Para implementar la directiva de asignación de cursos Igual por sesión

Abra el complemento Administrador de recursos del sistema de Windows.

En el árbol de consola, expanda el nodo Directivas de asignación de recursos.

Haga clic con el botón secundario en Igual por sesión y, a continuación, haga clic en Establecer como directiva de administración.

Si aparece un cuadro de diálogo para notificarle que se deshabilitará el calendario, haga clic en Aceptar.

Supervisión del rendimiento

Es conveniente que recopile datos del rendimiento de su servidor de Terminal Server antes y después de implementar la directiva de asignación de recursos Igual por sesión (o de efectuar cualquier otro cambio de configuración relacionado con WSRM). Puede usar el Monitor de recursos del complemento Administrador de recursos del sistema de Windows para recopilar y ver datos de uso de los recursos de hardware y la actividad de los servicios del sistema en el equipo.


Monitor de recursos en Windows Server 2008

El monitor de recursos de Windows Server 2008 es muy similar al que nos encontramos en Windows 7 y en Server 2008 R2.

Concretamente se trata de una vista del monitor de confiabilidad y rendimiento, donde se presentan los recursos del sistema.

Su aspecto es el siguiente y como puedes observar no se diferencia mucho del nuevo monitor presente en las nuevas distribuciones. De hecho la información general del sistema es exactamente la misma que en las otras consolas, aunque eso sí, cuando entramos en los detalles de CPU, Disco, Red y Memoria las nuevas consolas nos permiten acceder a muchas más información y detalles.

Capítulo 12 Monitorización de...

Documents

Transcript of Capítulo 12 Monitorización de...