Windows系统监控
一、 应用框架的选取与介绍
该监控系统使用J-Interop开源框架调用WMI来实现。Windows管理规范(WMI)是微软对来自分布式管理任务组(DMTF)基于Web的企业管理(WBEM)和通用信息模型(CIM)标准的实现。WMI用于访问Windows系统,应用,网络,设备等组件,并管理他们,可以实现对本地或远程操作系统的监控,比较流行的Java调用WMI开源框架有J-Interop,JACOB-Project和J-Integra,而J-Interop是完全免费开源的API,并且它提供了没有任何依赖的纯DCOM桥,完全使用Java编写的没有任何的JNI代码。
二、 环境准备
1. Windows要开启Remote Registry,Remote Procedure Call(RPC)和Windows Management Instrumentation服务,如下图:
图:开启服务
2. 修改安全策略
通过cmd命令行键入secpol.msc来开启本地安全策略,本地安全策略-->安全选项找到网络访问:本地账户的共享和安全模型,将它的安全设置更改为经典。如下图:
图:修改本地安全策略
3. 禁用防火墙
4. WindowsServer 2008和高版本的系统需注册表越狱
找到注册表HKEY_CLASSES_ROOT\CLSID\下面的注册表并更改管理员完全控制
{76A64158-CB41-11D1-8B02-00600806D9B6}的控制权。Windows Server 2008不再给Administrators完全控制权。只能通过SetACL.exe来更改。
a)下载SetACL.exe,下载地址:
https://files.helgeklein/downloads/SetACL/current/SetACL%20(executable%20version).zip
b)解压安装,cmd命令行cd到SetACL.exe目录之下,以管理员的身份运行如下代码:
图:注册表越狱
修改成功后管理员的权限显示如下图:
图:修改管理员权限
三、 程序代码
程序代码地址:https://xxsrd.f3322/svn/HDZX/Android/DOC/Server
创建WmiService类,如下图
图:创建WmiService类
建立和服务器的连接获取IJIDispatch对像
图:获取IJIDispatch对像
查询部分:
图:查询代码
四、 运行结果
1. cpu使用的情况:
a) WmiService.query("select * fromWin32_PerfFormattedData_PerfOS_Processor");查
询结果如下图:
b) WmiService.query("select * fromWin32_ Processor");(Windows server 2003服务器不适用)
2. 逻辑磁盘可用空间:WmiService.query("select * from Win32_LogicalDisk");
3. 系统服务:WmiService.query("select * from Win32_Service");
4.
物理内存:WmiService.query("select *from Win32_ PhysicalMemory");
5. 可用物理内存:WmiService.query("select * from Win32_OperatingSystem");
6. 网卡信息:WmiService.query("select * from Win32_NetworkAdapter");
7. 进程信息:WmiService.query("select * from Win32_Process");
8. 网络流量:
WmiService.query("select * from Win32_ PerfRawData_Tcpip_NetworkInterface");
五、 注意事项
1. 使用Windows2008 R2,Server 2012 R1和R2及Windows7时需要对注册表进行越狱操作。
2. Windows2003服务器对select * from Win32_Processor查询不支持,可替换为:
select * from Win32_PerfFormattedData_PerfOS_Processor
3. Windows7上启动远程注册表访问
默认情况下,即使启动了远程注册表服务,Windows7任将拒绝远程注册表。解决办法,在计算机上以管理员的身份运行powershell执行Enable-PSRenoting,重启计算机。
4. 防火墙必须允许开启TCP和UDP的端口号
1) TCP端口135(DEC、RPC定位器服务)
2) TCP端口139(NetBIOS会话服务)
3) TCP端口445(Windows共享)
4) C:\WINDOWS\System32\dllhost.exe(随机端口)
5) C:\WINDOWS\System32\javaw.exe(随机端口)
六、 常见错误
1. 错误码:0xC0000034
启动控制面板,打开"管理工具",打开"服务"。在列表中找到Remote Registry(远程注册表服务),启动此项服务。
2.
错误码: 0x8001FFFF
1)关闭防火墙
2)修改编辑注册表HEKY_LOCAL_MACHINE\System\CurrentControlSet\COntrol\Lsa找到或创建注册表LMCompatibilityLevel的值为2,关闭注册表重启计算机。
3)服务器版本过低,对有些查询语句不支持。
3.
错误码:0xC000006D
1)禁用防火墙
2)当端口139(NetBIOS会话服务)和445(Windows共享)不可用会出现该错
3)启动控制面板,进入“管理工具”,然后点击“本地安全策略”。这将打开
“本地安全设置”窗,转到“本地策略”->“安全选项”->“网络访问:本地
账户的共享和安全模型”。更改为“经典”。
4. 错误码:0x00000005
1) 禁用防火墙
2) 更改注册表HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Pollices\System,创建或修改32位DWORD:LocalAccountTokenFilterPolicy的值为1。
3)
Windows2008 R2,Server 2012R1,Win7,Win8,修改默认注册表的权限,请参考本文环境准备中的第四项。
5. 错误码:0x800706BA
1) 关闭防火墙
2) 启动Remote Procedure Call(RCP)服务。
Windows系统监控
一、 应用框架的选取与介绍
该监控系统使用J-Interop开源框架调用WMI来实现。Windows管理规范(WMI)是微软对来自分布式管理任务组(DMTF)基于Web的企业管理(WBEM)和通用信息模型(CIM)标准的实现。WMI用于访问Windows系统,应用,网络,设备等组件,并管理他们,可以实现对本地或远程操作系统的监控,比较流行的Java调用WMI开源框架有J-Interop,JACOB-Project和J-Integra,而J-Interop是完全免费开源的API,并且它提供了没有任何依赖的纯DCOM桥,完全使用Java编写的没有任何的JNI代码。
二、 环境准备
1. Windows要开启Remote Registry,Remote Procedure Call(RPC)和Windows Management Instrumentation服务,如下图:
图:开启服务
2. 修改安全策略
通过cmd命令行键入secpol.msc来开启本地安全策略,本地安全策略-->安全选项找到网络访问:本地账户的共享和安全模型,将它的安全设置更改为经典。如下图:
图:修改本地安全策略
3. 禁用防火墙
4. WindowsServer 2008和高版本的系统需注册表越狱
找到注册表HKEY_CLASSES_ROOT\CLSID\下面的注册表并更改管理员完全控制
{76A64158-CB41-11D1-8B02-00600806D9B6}的控制权。Windows Server 2008不再给Administrators完全控制权。只能通过SetACL.exe来更改。
a)下载SetACL.exe,下载地址:
https://files.helgeklein/downloads/SetACL/current/SetACL%20(executable%20version).zip
b)解压安装,cmd命令行cd到SetACL.exe目录之下,以管理员的身份运行如下代码:
图:注册表越狱
修改成功后管理员的权限显示如下图:
图:修改管理员权限
三、 程序代码
程序代码地址:https://xxsrd.f3322/svn/HDZX/Android/DOC/Server
创建WmiService类,如下图
图:创建WmiService类
建立和服务器的连接获取IJIDispatch对像
图:获取IJIDispatch对像
查询部分:
图:查询代码
四、 运行结果
1. cpu使用的情况:
a) WmiService.query("select * fromWin32_PerfFormattedData_PerfOS_Processor");查
询结果如下图:
b) WmiService.query("select * fromWin32_ Processor");(Windows server 2003服务器不适用)
2. 逻辑磁盘可用空间:WmiService.query("select * from Win32_LogicalDisk");
3. 系统服务:WmiService.query("select * from Win32_Service");
4.
物理内存:WmiService.query("select *from Win32_ PhysicalMemory");
5. 可用物理内存:WmiService.query("select * from Win32_OperatingSystem");
6. 网卡信息:WmiService.query("select * from Win32_NetworkAdapter");
7. 进程信息:WmiService.query("select * from Win32_Process");
8. 网络流量:
WmiService.query("select * from Win32_ PerfRawData_Tcpip_NetworkInterface");
五、 注意事项
1. 使用Windows2008 R2,Server 2012 R1和R2及Windows7时需要对注册表进行越狱操作。
2. Windows2003服务器对select * from Win32_Processor查询不支持,可替换为:
select * from Win32_PerfFormattedData_PerfOS_Processor
3. Windows7上启动远程注册表访问
默认情况下,即使启动了远程注册表服务,Windows7任将拒绝远程注册表。解决办法,在计算机上以管理员的身份运行powershell执行Enable-PSRenoting,重启计算机。
4. 防火墙必须允许开启TCP和UDP的端口号
1) TCP端口135(DEC、RPC定位器服务)
2) TCP端口139(NetBIOS会话服务)
3) TCP端口445(Windows共享)
4) C:\WINDOWS\System32\dllhost.exe(随机端口)
5) C:\WINDOWS\System32\javaw.exe(随机端口)
六、 常见错误
1. 错误码:0xC0000034
启动控制面板,打开"管理工具",打开"服务"。在列表中找到Remote Registry(远程注册表服务),启动此项服务。
2.
错误码: 0x8001FFFF
1)关闭防火墙
2)修改编辑注册表HEKY_LOCAL_MACHINE\System\CurrentControlSet\COntrol\Lsa找到或创建注册表LMCompatibilityLevel的值为2,关闭注册表重启计算机。
3)服务器版本过低,对有些查询语句不支持。
3.
错误码:0xC000006D
1)禁用防火墙
2)当端口139(NetBIOS会话服务)和445(Windows共享)不可用会出现该错
3)启动控制面板,进入“管理工具”,然后点击“本地安全策略”。这将打开
“本地安全设置”窗,转到“本地策略”->“安全选项”->“网络访问:本地
账户的共享和安全模型”。更改为“经典”。
4. 错误码:0x00000005
1) 禁用防火墙
2) 更改注册表HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Pollices\System,创建或修改32位DWORD:LocalAccountTokenFilterPolicy的值为1。
3)
Windows2008 R2,Server 2012R1,Win7,Win8,修改默认注册表的权限,请参考本文环境准备中的第四项。
5. 错误码:0x800706BA
1) 关闭防火墙
2) 启动Remote Procedure Call(RCP)服务。