Windows监控指标及获取方法

1.概要说明

文档中监控的windows指标，通过调用ZOHO的vbs脚本，以WMI方式获取各项指标。

2.Windows Server指标

2.1.监视器基本信息

属性 名称 健康状况 描述 显示名称，默认主机名，可编辑 运行健康状况，分别用绿，黄，红圆形图标来表示，表示良好，有警告，严重。如果健康状况严重，则需要显示根本原因， 即各项监控指标的当前状态。 获取方法 由用户创建监视器时输入 类型 主机名 如服务器 roy (192.168.0.111) 格式：主机名(IP)，如 创建时用户手动输入 如：linux 格式： 2012-3-12 下午1:37 格式： 2012-3-12 下午1:42 即响应时间(毫秒) 可用或不可用：用饼图表示 roy (192.168.0.111) 操作系统 最后轮询时间 下次轮询时间 应答时间 可用性 主机名 相当于ping命令的响应时间 格式：主机名(IP)，如 创建时用户手动输入 如：Windows 操作系统 版本 CPU个数 型号 核心数量 版本 例如：2000，2003 型号 机柜位置 用途

2.2.CPU

属性 CPU使用率 描述 百分比显示 获取方法 根据版本不同分： Cpu.vbs, cpu_2000.vbs cpu_2008.vbs 通过语句 \"Select * from Win32_PerfRawData_PerfOS_Processor where Name='_Total'\" 查询 对应的key: ProcessorTime

2.3.内存使用率

属性 交换内存利用率 物理内存利用率 空闲的物理内存 描述 百分比显示 百分比显示 获取方法 Memory.vbs 查询Win32_OperatingSystem表获取 对应的key 物理内存：PhysicalMemory 虚拟内存：VirtualMemory 查询Win32_PerfRawData_PerfOS_Memory表获取 对应的key 空闲的物理内存：FreePhysicalMemory

2.4.磁盘使用率

属性 大小 描述 Disk.vbs 获取方法 可用空间 已用空间 磁盘总大小 通过查询 Select * from Win32_LogicalDisk where DriveType=3 对应的key 大小：Size 可用空间：FreeSpace 已用空间：Size -FreeSpace 磁盘使用率

百分比显示 2.5.磁盘IO

属性 DiskReadsPersec DiskWritesPersec DiskTransfersPersec AvgDiskQueueLength 描述 获取方法 diskio.vbs 查询Select * from Win32_PerfRawData_PerfDisk_ PhysicalDisk 计算方法请参考diskio.vbs

2.5.进程明细

属性 名称 进程名 可用性 实例编号 描述 获取方法 Process.vbs 查询Select * from Win32_Process 对应的key： 名称：name 实例编号：ProcessId 2.6.Windows服务器的EventLog

对于Windows服务器，系统要求支持采集、分析服务器产生的EventLog（并不是每台服务器的eventlog采集需需要打开，可以由用户选择性的启用或关闭eventlog监控功能），MSDN上的WMI对象的描述为：http://msdn.microsoft.com/en-us/library/aa394226%28v=vs.85%29，

主要是Win32_NTLogEvent类：

所有从目标服务器上查询得到的EventLog均需要记录到网管系统数据库，考虑到EventLog数量比较多，要支持灵活的配置，比如根据EventLog的Type字段进行过滤，Type字段在MSDN的解释如下：

Type

Data type: string

Access type: Read-only

Type of event. This is an enumerated string. It is preferable to use the EventType property rather than the Type property. Value 1 2 4 8 16

系统可以支持获取Type为指定取值的EventLog，其它的EventLog可以丢弃掉。

EventLog模块提供查询界面，可以按照服务器的IP地址，EvnetLog的eventCode、Type、CategoryString进行查询，查询结果参考Windows操作系统自带的事件查看器。

Meaning Error Warning Information

Security Audit Success Security Audit Failure

当管理的目标windows服务器比较多时，采集每台服务器的eventlog保存到网管系统，会对网管系统数据库产生比较大的压力，eventlog模块要支持定期从数据库中导出历史的eventlog到外部文件，比如每三个月自动将三个月之前的eventlog导出到外部文件，这样数据库中当前的eventlog数量不会特别多，查询也比较快速。导出的文件放在%INSTALLDIR%\\eventlog_backup，导出的文件格式为csv。

要求支持灵活创建规则，当eventlog符合指定条件的规则时，则生成一条告警，当有多条规则时，优先匹配告警级别高的规则，如果不符合规则，那么网管系统只是将该条eventlog记录到数据库中并不产生告警，一条规则包括：

规则名、事件ID（就是Win32_NTLogEvent数据结构中的EventCode字段）、IP地址（就是服务器的IP地址）、 关键字（如果eventlog的Message字段包括指定的关键字则产生告警）、告警级别、告警动作（下拉列表框，从告警模块中得到已经配置好的动作名称），以上所有字段除了规则名称、告警级别、告警动作是必填的，其它都是可选填写的。

2.7 TCP端口并发连接数

属性 描述 配置好的需要坚挺的端口及其描述信息 获取方法 netstat –an –p tcp | findstr :port TCP端口连接数 配置的端口可以不止一个，各端口及其配置信息的保存格式：port1(备注1),port2(备注2),… 相应端口的连接数也是整数，保存在性能数据表（nms_server_status_report）的listenedPorts字段里，格式：port1(number1),port2(number2),… 并且能够配置阈值，产生告警。 如下图：

服务明细

属性 显示名 服务名 可用性 描述 获取方法 Services.vbs 通过查询Win32_Service表: Name : 服务名 DisplayName：显示名 Started：可用性 3.附录

4.1参考资料及文档

常用WMI列表

// 硬件

Win32_Processor, // CPU 处理器 Win32_PhysicalMemory, // 物理内存条 Win32_Keyboard, // 键盘

Win32_PointingDevice, // 点输入设备，包括鼠标。 Win32_FloppyDrive, // 软盘驱动器 Win32_DiskDrive, // 硬盘驱动器 Win32_CDROMDrive, // 光盘驱动器 Win32_BaseBoard, // 主板 Win32_BIOS, // BIOS 芯片 Win32_ParallelPort, // 并口 Win32_SerialPort, // 串口

Win32_SerialPortConfiguration, // 串口配置 Win32_SoundDevice, // 多媒体设置，一般指声卡。 Win32_SystemSlot, // 主板插槽 (ISA & PCI & AGP) Win32_USBController, // USB 控制器 Win32_NetworkAdapter, // 网络适配器

Win32_NetworkAdapterConfiguration, // 网络适配器设置 Win32_Printer, // 打印机

Win32_PrinterConfiguration, // 打印机设置 Win32_PrintJob, // 打印机任务

Win32_TCPIPPrinterPort, // 打印机端口 Win32_POTSModem, // MODEM

Win32_POTSModemToSerialPort, // MODEM 端口 Win32_DesktopMonitor, // 显示器

Win32_DisplayConfiguration, // 显卡

Win32_DisplayControllerConfiguration, // 显卡设置 Win32_VideoController, // 显卡细节。 Win32_VideoSettings, // 显卡支持的显示模式。 // 操作系统

Win32_TimeZone, // 时区 Win32_SystemDriver, // 驱动程序 Win32_DiskPartition, // 磁盘分区 Win32_LogicalDisk, // 逻辑磁盘

Win32_LogicalDiskToPartition, // 逻辑磁盘所在分区及始末位置。 Win32_LogicalMemoryConfiguration, // 逻辑内存配置 Win32_PageFile, // 系统页文件信息 Win32_PageFileSetting, // 页文件设置 Win32_BootConfiguration, // 系统启动配置 Win32_ComputerSystem, // 计算机信息简要 Win32_OperatingSystem, // 操作系统信息 Win32_StartupCommand, // 系统自动启动程序 Win32_Service, // 系统安装的服务 Win32_Group, // 系统管理组 Win32_GroupUser, // 系统组帐号 Win32_UserAccount, // 用户帐号 Win32_Process, // 系统进程 Win32_Thread, // 系统线程 Win32_Share, // 共享

Win32_NetworkClient, // 已安装的网络客户端 Win32_NetworkProtocol, // 已安装的网络协议