建站
咨詢
售后
建站咨詢
新聞中心
背景:
很早就發(fā)現(xiàn)域控的CPU長(zhǎng)期飆在60-80%之間,日志服務(wù)是CPU占用大頭,改小日志的最大大小也沒(méi)有用,域控使用了paloalto和 SXF的單點(diǎn)登錄功能,所以我雖然確定肯定是兩個(gè)的其中一個(gè),但是一直沒(méi)有實(shí)錘。
專(zhuān)注于為中小企業(yè)提供網(wǎng)站制作、成都網(wǎng)站制作服務(wù),電腦端+手機(jī)端+微信端的三站合一,更高效的管理,為中小企業(yè)銅仁免費(fèi)做網(wǎng)站提供優(yōu)質(zhì)的服務(wù)。我們立足成都,凝聚了一批互聯(lián)網(wǎng)行業(yè)人才,有力地推動(dòng)了成百上千家企業(yè)的穩(wěn)健成長(zhǎng),幫助中小企業(yè)通過(guò)網(wǎng)站建設(shè)實(shí)現(xiàn)規(guī)模擴(kuò)充和轉(zhuǎn)變。
使用Stack Trace我只能確認(rèn)是日志查詢導(dǎo)致的
.jpg)
由于日志的查詢是通過(guò)WMI進(jìn)行的,所以在找到一些WMI TRACE相關(guān)的信息后,我抓了一小段時(shí)間WMI TRACE為ETL文件,然后使用windows message analyzer 把需要的字段提取出來(lái),生成一個(gè)CSV,然后在EXCEL里面進(jìn)行查看。
.jpg)
- 白色背景的查詢1,似乎沒(méi)有太規(guī)則的規(guī)律,查詢間隔時(shí)間最小似乎是1s,但是大的間隔也有5s ,2s左右居多。
select __RELPATH, InsertionStrings from Win32_NTLogEvent where ((Logfile = "security" AND (((EventCode = 672 OR EventCode = 4624) OR EventCode = 540) OR EventCode = 4768)) AND RecordNumber > 939574642)- (Yellow)色背景的查詢2 (唉,這博客的關(guān)鍵詞太優(yōu)(cu)雅(fang)),查詢間隔大概是14-15s.
select __RELPATH, EventIdentifier, InsertionStrings, TimeGenerated from Win32_NTLogEvent where (((((((((EventIdentifier = 4624 OR EventIdentifier = 4768) OR EventIdentifier = 4769) OR EventIdentifier = 4770) OR EventIdentifier = 540) OR EventIdentifier = 672) OR EventIdentifier = 673) OR EventIdentifier = 674) AND LogFile = "Security") AND TimeGenerated >= "20190906013740.751000+000")找到真兇
是的上面的查詢1,頻率很高,可能是真兇,但是這個(gè)查詢是誰(shuí)發(fā)出的呢?能否跟到IP地址?
使用netsh trace 進(jìn)行抓包,使用Windows Message Analyzer進(jìn)行分析,先篩選WMI,然后點(diǎn)中其中一條,點(diǎn)最前面的加號(hào),一直跟到ip 模塊,然后把SourceAddress 顯示成列,把strquery 單獨(dú)顯示成一列,大致如下圖。真兇找到。
.jpg)
后記
以為在網(wǎng)頁(yè)上把下面的設(shè)置禁用,刪除配置的域控列表,就可以禁用日志查詢了,結(jié)果抓包后不是這樣的,SXF 是堅(jiān)持要干活,AD的日志查詢還是一直在繼續(xù),估計(jì)釜底抽薪的辦法,只能把SXF用的賬號(hào)給改個(gè)密碼或者把賬號(hào)禁用了。
我驗(yàn)證了我的想法,然后發(fā)現(xiàn)確實(shí)有效,我只想說(shuō),做人真的要矜持。。。。。。。。。。。
禁用了SXF用的AD賬號(hào)一段后,又開(kāi)啟后,DC的CPU表現(xiàn)圖如下:
.jpg)
附加下Palo Alto的查詢配置(可更改的)
第二周后,我獲取了補(bǔ)丁文件,按照原來(lái)的建議,把頻率改成25s,不過(guò)是寫(xiě)死在程序中的,這響應(yīng)還算是快捷了(Tou)(Lan), 搞個(gè)配置文件,可以修改頻率不行嗎?對(duì)比下palo,只能呵呵了.......
雖然很多嘆息,不過(guò)該高興的是,這個(gè)問(wèn)題持續(xù)一年多終于解決了...
參考鏈接
network tracing using ETW
WMI Tracing
分享標(biāo)題:該有的矜持---域控CPU長(zhǎng)期飆60-80%問(wèn)題源頭確認(rèn)過(guò)程
文章起源:http://ef60e0e.cn/article/gegipd.html
