Windows系統(tǒng)監(jiān)控

一、??????應(yīng)用框架的選取與介紹

???????? 該監(jiān)控系統(tǒng)使用J-Interop開(kāi)源框架調(diào)用WMI來(lái)實(shí)現(xiàn)。Windows管理規(guī)范（WMI）是微軟對(duì)來(lái)自分布式管理任務(wù)組（DMTF）基于Web的企業(yè)管理（WBEM）和通用信息模型（CIM）標(biāo)準(zhǔn)的實(shí)現(xiàn)。WMI用于訪(fǎng)問(wèn)Windows系統(tǒng)，應(yīng)用，網(wǎng)絡(luò)，設(shè)備等組件，并管理他們，可以實(shí)現(xiàn)對(duì)本地或遠(yuǎn)程操作系統(tǒng)的監(jiān)控，比較流行的Java調(diào)用WMI開(kāi)源框架有J-Interop，JACOB-Project和J-Integra，而J-Interop是完全免費(fèi)開(kāi)源的API，并且它提供了沒(méi)有任何依賴(lài)的純DCOM橋，完全使用Java編寫(xiě)的沒(méi)有任何的JNI代碼。

二、??????環(huán)境準(zhǔn)備

1.????????Windows要開(kāi)啟Remote Registry，Remote Procedure Call（RPC）和Windows Management Instrumentation服務(wù)，如下圖：

圖：開(kāi)啟服務(wù)

2.????????修改安全策略

???????? 通過(guò)cmd命令行鍵入secpol.msc來(lái)開(kāi)啟本地安全策略，本地安全策略-->安全選項(xiàng)找到網(wǎng)絡(luò)訪(fǎng)問(wèn)：本地賬戶(hù)的共享和安全模型，將它的安全設(shè)置更改為經(jīng)典。如下圖：

圖：修改本地安全策略

3.????????禁用防火墻

4.????????WindowsServer 2008和高版本的系統(tǒng)需注冊(cè)表越獄

???????? 找到注冊(cè)表HKEY_CLASSES_ROOT\CLSID\下面的注冊(cè)表并更改管理員完全控制

{76A64158-CB41-11D1-8B02-00600806D9B6}的控制權(quán)。Windows Server 2008不再給Administrators完全控制權(quán)。只能通過(guò)SetACL.exe來(lái)更改。

a)下載SetACL.exe，下載地址：

https://files.helgeklein.com/downloads/SetACL/current/SetACL%20(executable%20version).zip

b)解壓安裝，cmd命令行cd到SetACL.exe目錄之下，以管理員的身份運(yùn)行如下代碼：

圖：注冊(cè)表越獄

修改成功后管理員的權(quán)限顯示如下圖：

圖：修改管理員權(quán)限

三、??????程序代碼

????? 程序代碼地址：https://xxsrd.f3322.org/svn/HDZX/Android/DOC/Server

??? 創(chuàng)建WmiService類(lèi)，如下圖

:

圖：創(chuàng)建WmiService類(lèi)

????????

?

?

?

???????? 建立和服務(wù)器的連接獲取IJIDispatch對(duì)像

圖：獲取IJIDispatch對(duì)像

???????? 查詢(xún)部分：

圖：查詢(xún)代碼

四、??????運(yùn)行結(jié)果

1.????????cpu使用的情況：

a) WmiService.query("select * fromWin32_PerfFormattedData_PerfOS_Processor");查

?

詢(xún)結(jié)果如下圖：

b) WmiService.query("select * fromWin32_ Processor");(Windows server 2003服務(wù)器不適用)

?

2.????????邏輯磁盤(pán)可用空間：WmiService.query("select * from Win32_LogicalDisk");

3.????????系統(tǒng)服務(wù)：WmiService.query("select * from Win32_Service");

4.????????
物理內(nèi)存：WmiService.query("select *from Win32_ PhysicalMemory");

5.????????可用物理內(nèi)存：WmiService.query("select * from Win32_OperatingSystem");

? ? ? ? ? ? ? ?

6.????????網(wǎng)卡信息：WmiService.query("select * from Win32_NetworkAdapter");

7.????????進(jìn)程信息：WmiService.query("select * from Win32_Process");

8.????????網(wǎng)絡(luò)流量：

WmiService.query("select * from Win32_ PerfRawData_Tcpip_NetworkInterface");

五、??????注意事項(xiàng)

1.????????使用Windows2008 R2,Server 2012 R1和R2及Windows7時(shí)需要對(duì)注冊(cè)表進(jìn)行越獄操作。

2.????????Windows2003服務(wù)器對(duì)select * from Win32_Processor查詢(xún)不支持，可替換為:

select * from Win32_PerfFormattedData_PerfOS_Processor

3.????????Windows7上啟動(dòng)遠(yuǎn)程注冊(cè)表訪(fǎng)問(wèn)

默認(rèn)情況下，即使啟動(dòng)了遠(yuǎn)程注冊(cè)表服務(wù)，Windows7任將拒絕遠(yuǎn)程注冊(cè)表。解決辦法，在計(jì)算機(jī)上以管理員的身份運(yùn)行powershell執(zhí)行Enable-PSRenoting，重啟計(jì)算機(jī)。

4.????????防火墻必須允許開(kāi)啟TCP和UDP的端口號(hào)

1)????????TCP端口135（DEC、RPC定位器服務(wù)）

2)????????TCP端口139（NetBIOS會(huì)話(huà)服務(wù)）

3)????????TCP端口445（Windows共享）

4)????????C:\WINDOWS\System32\dllhost.exe(隨機(jī)端口)

5)????????C:\WINDOWS\System32\javaw.exe(隨機(jī)端口)

六、??????常見(jiàn)錯(cuò)誤

1.????????錯(cuò)誤碼：0xC0000034

啟動(dòng)控制面板，打開(kāi)"管理工具"，打開(kāi)"服務(wù)"。在列表中找到Remote Registry（遠(yuǎn)程注冊(cè)表服務(wù)），啟動(dòng)此項(xiàng)服務(wù)。

2.????????
錯(cuò)誤碼： 0x8001FFFF

1)關(guān)閉防火墻

2)修改編輯注冊(cè)表HEKY_LOCAL_MACHINE\System\CurrentControlSet\COntrol\Lsa找到或創(chuàng)建注冊(cè)表LMCompatibilityLevel的值為2，關(guān)閉注冊(cè)表重啟計(jì)算機(jī)。

3)服務(wù)器版本過(guò)低，對(duì)有些查詢(xún)語(yǔ)句不支持。

3.????????
錯(cuò)誤碼：0xC000006D

1)禁用防火墻

2)當(dāng)端口139（NetBIOS會(huì)話(huà)服務(wù)）和445（Windows共享）不可用會(huì)出現(xiàn)該錯(cuò)

3)啟動(dòng)控制面板，進(jìn)入“管理工具”，然后點(diǎn)擊“本地安全策略”。這將打開(kāi)

“本地安全設(shè)置”窗,轉(zhuǎn)到“本地策略”->“安全選項(xiàng)”->“網(wǎng)絡(luò)訪(fǎng)問(wèn)：本地

?賬戶(hù)的共享和安全模型”。更改為“經(jīng)典”。

4.????????錯(cuò)誤碼：0x00000005

1)????????禁用防火墻

2)????????更改注冊(cè)表HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Pollices\System,創(chuàng)建或修改32位DWORD：LocalAccountTokenFilterPolicy的值為1。

3)????????
Windows2008 R2,Server 2012R1,Win7,Win8,修改默認(rèn)注冊(cè)表的權(quán)限，請(qǐng)參考本文環(huán)境準(zhǔn)備中的第四項(xiàng)。

5.????????錯(cuò)誤碼：0x800706BA

1)????????關(guān)閉防火墻

2)????????啟動(dòng)Remote Procedure Call（RCP）服務(wù)。

總結(jié)

以上是生活随笔為你收集整理的Windows系统监控的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。