op zoek naar een lightweight process monitor

Pak een pc en installeer daar prtg op. Monitor je een week de server en heb je mooie grafiekjes waar je dingen uit kan halen.

pokerhead schreef op dinsdag 20 augustus 2019 @ 14:31:
Dag Iedereen,

Ik ben opzoek naar een lightweight Process monitor voor Windows server (2012/2016).

Welke heb je zelf al gevonden en geprobeerd, en waarom voldeden deze niet?

Het is natuurlijk wel de bedoeling om zelf even wat inzet te tonen...

Ik laat de post voor nu staan, maar vul je topicstart wel even aan. Kijk daarbij ook even goed naar het algemeen beleid:

Een goede topicstart: De Quickstart

Wat jij beschrijft kan met de ingebouwde "Performance Monitor" (%windir%\system32\perfmon.msc).

pokerhead schreef op dinsdag 20 augustus 2019 @ 14:53:
[...]


Dat heb ik al aan het bekijken geweest.

Hier kan ik inderdaad de specifieke processen monitoren.

Het lukt mij hier niet om de bij de specifieke processen ook te memory te tonen.

Totaal memory verbruik lukt wel, niet specifiek per process.


Ik zal iets specifieker zijn.

We willen bekijken hoe hard een bepaald antivirus het systeem belast op een productie server.

Het is sowieso lastig om memory usage per proces goed weer te geven, gezien geheugen ook veel gedeeld gebruikt kan worden (shared libraries, shared memory segments, etc.). Hiervoor zou ik dan eerder op het test systeem kijken naar geheugen gebruik zonder en met additionele applicatie aan.

We willen bekijken hoe hard een bepaald antivirus het systeem belast op een productie server.

Ik ga eerst even in algemeenheden spreken en zeggen dat een goede AV oplossing op een server relatief weinig resources in gebruikneemt.

Daar tegenover staat dat een niet goed ingerichte applicatie en AV scanner elkaar behoorlijk in de weg kunnen zitten.
meestal geeft de leverancier van de applicatie al aanwijzingen welke processen of mappen eventueel uitgezonderd kunnen of moeten worden van de AV scanner.
Als jij een applicatie hebt welke automatisch opgeslagen facturen (in PDF formaat) vanaf een share/map leest en je on-access realtime AV scanner process scant eerst elke PDF die naar de share wordt gekopieerd dan kan die applicatie best over zijn nek gaan. Terwijl die PDF bijvoorbeeld al wordt gescand bij het kopiëren/schrijven naar de share, moet dat dan nog een keer? En wat doet de applicatie als de AV scanner toegang tot het bestand blokkeert of direct verwijdert/verplaatst?

Ik zou dus heel erg kijken naar de workload van de server en juist die workload nader gaan testen met gebruik van een AV scanner.

* Wordt er gebruik gemaakt van realtime scans of scheduled scans of allebei en wanneer lopen die scans?
* Welke processen en mappen worden er uitgesloten?
* Wordt er gescand in archiefbestanden (ZIP, RAR, etc)? Dan zie je load vaak snel oplopen..
* Als er een actieve scan wordt gedaan (juist op het proces of in de map waarin een applicatie "werkt" wat is dan het geheugengebruik van de applicatie en welke mappen/bestanden worden er allemaal gescand?
* Geheugengebruik? Kijk eerder naar I/O , diskgebruik. Dat kost vaak meer tijd en vertraagt een systeem vaak een stuk meer.

Dus ga actiever op zoek naar de werking van de AV scanner "on load" dan enkel monitoren wat er gebeurt als die server verder nauwelijks belast wordt en een weekje staat te pruttelen. Dat kost je namelijk een week en misschien gebeurt er dan niets bijzonders. Ben je een week "kwijt" voor niets...

Als je dat soort scans een keer actief aftrapt op je test systeem, en je kijkt met resource monitor wat er allemaal plaatsvindt, dan heb je dit soort dingen vaak sneller in de smiezen.
Mijn AV scanner zit meestal rond de 60/80 MB en het loopt even op naar de 150 MB bij een actieve scan.
Lig ik dus niet zo wakker van.
Maar CPU en diskaccess bij meerdere threads kan dus evengoed een "chokepoint" zijn.

Wat voor functies voert deze server uit? Idealiter zou je kijken naar hoe snel de server blijft voor je eindgebruikers. Stel dat het een file server is, dan kan je kijken wat de gemiddelde tijd is om zo'n file te openen door eindgebruikers.

Daarnaast, een AV doet natuurlijk van alles met de kernel. Ik kan me voorstellen dat een AV dan ook allemaal invloed heeft op wat de kernel wel/niet doet. Dan alleen meten wat het proces in user space voor cpu of geheugen gebruikt zegt niet alles.