есть под рукой, надо уметь это находить..»

Когда внезапно возникает подозрение что с компьютером что то «не так», антивирус молчит как партизан, ошибок в журналах нет и несмотря на все усилия понять что именно «не так» невозможно. На помощь приходит утилита для проверки целостности защищенных фалов о которой все знают но стесняются ее использовать.

Она есть во всех редакциях от Windows XP до Windows 7, конечно синтаксис от первой до последней версии поменялся, но суть – проверка целостности системных файлов, осталась.

Вот ее синтаксис.

SFC.EXE и ее традиционные ключи.

• /Scannow — проверит все защищенные файлы и восстановит ошибочные с диска о чем сообщит в случае если это потребуется.
• /Scanonce — проверить все защищенные системные файлы при следующей перезагрузке компьютера. При запуске Sfc.exe с параметром /Scanonce в реестре по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметру SfcScan типа DWORD присваивается значение 2.
• /Scanboot — включит проверку защищенных файлов при каждой загрузке компьютера. При запуске Sfc.exe с параметром /Scanboot в реестре по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметру SfcScan типа DWORD присваивается значение 1.
• /Revert — восстановит параметры проверки по умолчанию то есть не будет проверять файлы при каждой загрузке если вы использовали ранее /Scanboot
• /Purgecache — чистка файлового кэша и запуск проверки.
• /Cachesize=x — Установить размер файлового кэша равным x мегабайтам (МБ). По умолчанию 50Мб. При запуске Sfc.exe с параметром /Cachesize параметру системного реестра по пути HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon параметру SfcQuota типа DWORD присваивается значение x.

В Windows 7 помимо вышеперечисленных ключей добавились еще и такие

SFC [/SCANNOW] [/VERIFYONLY] [/SCANFILE=] [/VERIFYFILE=]
[/OFFWINDIR= /OFFBOOTDIR=]

• /VERIFYONLY проверка целостности всех файлов, операции восстановления не производится.
• /SCANFILE проверка определенного файла, при необходимости производится его восстановление. Обязательный параметр – <имя файла>
• /VERIFYFILE проверка определенного файла, восстановление не производится. Обязательный параметр – <имя файла>

Первое что пришло в голову – загрузить для последующего анализа этот «файлик» на 70 гигов в архиве, затем распаковать его на одном из ликунсовых хостов и прочистить его grep-ом.

Первая мысль оказалась удачной, но тут же вспомнилась несправедливо забываемая стандартная утилита findstr.

Вот список её возможностей:

1. сравнить с шаблоном
2. поиск строки
3. использовать для поиска регулярное выражение
4. искать можно независимо от регистра

и еще много чего полезного.

Для примера возьмем произвольный файл и начнем в нем поиск.

в файле file.txt ищем строку содержащую test0001

findstr test0001 file.txt

в файле file.txt ищем строку содержащую выражение user1 test

findstr /c:"user1 test" file.txt

ищем без учета регистра во всех файлах текущего каталога слово example

findstr /s /i example *.*

выбрать из всех лог файлов строки которые не содержат в себе выражения lab.user01

findstr /s /v lab.user01 *.log > result.txt

Если мы разбираем лог-файл IIS-а на предмет запрошенных файлов то вводим

type logfile01.log | findstr "file="

Если необходимо получить список запросов несуществующих файлов (ошибка 404) то вводим

type logfile01.log | findstr "404"

Для удобства есть опции /n и /m и их можно использовать для того что бы получить строку в которой находится искомое выражение или список имен файлов в которых есть выражение.

Если необходимо найти по началу строки то в строке поиска используем

findstr /s /i "\<192.168.1.*" *.*

получаем всех кто обращался из указанной подсети.

И в завершении…
Для того что бы определить какие порты открыты на нашей системе пишем

netstat -an | findstr 0.0.0.0

Сегодня постараюсь по памяти описать две основные утилиты.
Сразу отмечу что с одной стороны они полезны, а с другой если неправильно их применять то они весьма опасны.

Итак. Встречаем ISINTEG и ESEUTIL.

ESEUTIL можно произвести дефрагментацию баз, проверить их целостность и в случае необходимости произвести ремонт.

ISINTEG используется для тестирования информации и исправления некоторых ошибок.

Ключи ESEUTIL

Дефрагментация баз – ESEUTIL /D
Проверка целостности – ESEUTIL /G
Восстановление БД – ESEUTIL /P

Дефрагментация

В нормальных условиях она не требуется, но при массовых добавлениях или удалениях пользователей его желательно сделать.
В зависимости от размера базы процесс может занять довольно много времени.

Проверка целостности

Для запуска проверки для DB_01.EDB базы, введите следующую команду:

ESEUTIL /G "D:\exchsrvr\Store01\db_01.edb"

Восстановление

Если у нас есть в наличии свежий бэкап то восстановить работоспособность не проблема, но что делать если нет резервной копии ил иона не читается..?

перед тем как начать «ремонт» следует убедится что проблема у нас действительно есть
1. пробуем смонтировать базу
2. проверить журнал событий на предмет ошибок, это может помочь в диагностике проблемы
3. сделать резервную копиютак

Теперь ESEUTIL /P

ESEUTIL /p восстанавливает сбойную или повреждённую БД.
Перед началом следует убедиться что свободного места на томе имеется хотя бы 20% от размера базы.

пример.

ESEUTIL /P "D:\exchsrvr\Store01\db_01.edb" /S e:\exchsrvr\Store01\db_01.stm /T e:\tempdb.edb

И напоследок финальный шаг – запускаем

ISINTEG -fix -test alltests

для примера

isinteg -s EXSRV01 -fix -test alltests

подробнее об этой утилите можно прочитать на http://technet.microsoft.com/ru-ru/library/bb125144.aspx

Это можно легко решить при помощи старой доброй Uptime.exe
Утилита отлично работает на платформах NT, Win2000 и Win2003 всех редакций, на х86 и х64. С Вистой, Windows 7 и Win2008 Server возникают ошибки при вызове утилиты с дополнительными параметрами.

Просто Uptime.exe HostName выдаст время работы во вполне человеческом виде

C:\Users\user>uptime HostName
\\HostName has been up for: 32 day(s), 8 hour(s), 34 minute(s), 5 second(s)

Далее используем ключ /s который покажет детальный отчет о выключениях и перезагрузках, и ключ /а который выведет количество падений приложений, с указанием этих приложений. А так же будет итоговая статистика доступности и количество выпадений в BSD.

C:\Users\user>uptime  /s /a HostName

Uptime Report for: \\HostName

Current OS: Microsoft Windows Server 2003 R2, Service Pack 2, Multiprocessor Free.
Time Zone: Russian Daylight Time

System Events as of 06.10.2009 18:14:20:

Date:      Time:        Event:               Comment:
---------- -----------  -------------------  -----------------------------------
21.09.2007    13:24:08  Shutdown
21.09.2007    13:26:31  Boot                 Prior downtime:0d 0h:2m:23s
07.11.2007    10:47:20  Shutdown             Prior uptime:1d 22h:5m:25s
13.02.2008    19:16:12  Boot                 Prior downtime:0d 0h:6m:2s
13.02.2008    19:16:13  Bluescreen           STOP 0x0000000a
20.03.2008    11:23:46  Shutdown             Prior uptime:35d 16h:7m:34s
20.03.2008    11:28:30  Boot                 Prior downtime:0d 0h:4m:44s
28.04.2008    11:54:56  Abnormal Shutdown    Prior uptime:38d 23h:26m:26s
28.04.2008    17:44:33  Boot                 Prior downtime:0d 5h:49m:37s
28.04.2008    21:02:39  Shutdown             Prior uptime:0d 3h:18m:6s
28.04.2008    21:05:23  Boot                 Prior downtime:0d 0h:2m:44s
29.04.2008    19:18:19  Abnormal Shutdown    Prior uptime:0d 22h:12m:56s
29.04.2008    20:06:32  Boot                 Prior downtime:0d 0h:48m:13s
29.05.2008    11:23:21  Shutdown             Prior uptime:29d 15h:16m:49s
29.07.2008    17:17:21  Boot                 Prior downtime:0d 0h:42m:44s
29.07.2008    17:17:22  Bluescreen           STOP 0x00000077
29.07.2008    17:23:07  Shutdown             Prior uptime:0d 0h:5m:46s
29.07.2008    17:25:58  Boot                 Prior downtime:0d 0h:2m:51s
10.08.2008    13:17:52  Application Failure  D:\SMS\bin\i386\srvboot.exe
29.11.2008    18:30:23  Abnormal Shutdown    Prior uptime:123d 2h:4m:25s
01.12.2008    14:52:37  Boot                 Prior downtime:1d 20h:22m:14s
17.12.2008    15:09:18  Shutdown             Prior uptime:16d 0h:16m:41s
17.12.2008    15:12:24  Boot                 Prior downtime:0d 0h:3m:6s
20.07.2009    11:08:09  Shutdown             Prior uptime:24d 1h:57m:45s
20.07.2009    11:11:32  Boot                 Prior downtime:0d 0h:3m:23s
30.07.2009    09:02:06  Application Failure  C:\WINDOWS\system32\CCM\CcmExec.exe
04.08.2009    14:32:27  Shutdown             Prior uptime:15d 3h:20m:55s
04.08.2009    14:36:00  Boot                 Prior downtime:0d 0h:3m:33s

Current System Uptime: 63 day(s), 3 hour(s), 47 minute(s), 16 second(s)

--------------------------------------------------------------------------------
Since 21.09.2007:
           System Availability: 93.0219%
                  Total Uptime: 694d 3h:8m:13s
                Total Downtime: 52d 1h:41m:59s
                 Total Reboots: 21
     Mean Time Between Reboots: 26.65 days
             Total Bluescreens: 2
    Total Application Failures: 2

Легко видно количество неожиданных выключений ОС и когда они были. Отчет выведет и остановки операционной системы типа STOP (жуткий BSOD) если таковые были.

Далее не сложно написать задание для обхода всех серверов и сохранения отчетов.
Как итог получим еще один простой инструмент для получения общих данных и интересной статистики.