使用云服務器 ECS 時，若Windows實例時發(fā)現(xiàn)主機網(wǎng)絡流量較大或出現(xiàn)服務的速度變慢，或 ECS 實例突然斷開，應該怎么快速排查解決呢?您可以先排查是否是帶寬占用過高，或者CPU問題進行對應處理。有具體相關疑問可聯(lián)系電話咨詢，4006-333-292.

　　問題現(xiàn)象一：Windows實例帶寬和CPU跑滿或跑高排查

　　您在使用Windows實例時發(fā)現(xiàn)主機網(wǎng)絡流量較大，如下圖所示。

　　

　　原因分析

　　有多種原因可能造成服務器網(wǎng)絡帶寬占用較高，包括：

　　您的正常應用業(yè)務訪問頻繁，正常占用較高帶寬

　　惡意病毒、木馬引起的網(wǎng)絡流量。有時三方惡意程序可能會利用操作系統(tǒng)的svchost.exe，或者 Tcpsvcs.exe來偽裝，引起高帶寬的占用。

　　Windows自身服務(更新服務等)可能會占用較高網(wǎng)絡流量

　　解決方案

　　采用以下跟進方案分析為何占用高流量：

　　使用Windows自帶工具 Resource Monitor(資源監(jiān)視器) 監(jiān)控實時流量情況。

　　在流量大的情況下，使用 Wireshark 抓取一段時間的網(wǎng)絡包，分析流量使用情況。

　　資源監(jiān)視器

　　這部分以 Windows Server 2008 R2 和 Windows Server 2012 R2 為例，說明如何使用資源監(jiān)視器監(jiān)控實時網(wǎng)絡流量。

　　按以下方式打開資源監(jiān)視器：

　　遠程連接實例。

　　右鍵單擊任務欄空白處，選擇 啟動任務管理器。

　　單擊 性能 頁簽后，再單擊 資源監(jiān)視器。

　　在 資源監(jiān)視器 窗口中，單擊 網(wǎng)絡 頁簽。

　　Windows Server 2008 R2：

　　

　　Windows Server 2012 R2：

　　

 

　　如圖所示，通過 資源監(jiān)視器 窗口的 網(wǎng)絡活動的進程、網(wǎng)絡活動、TCP連接、偵聽端口 等信息可以實時分析實例當前的網(wǎng)絡流量情況，找出占用流量高的進程分析：

　　如果該進程是正常業(yè)務進程，確實因為客戶端訪問量大造成帶寬占用高，請酌情考慮升級帶寬。

　　如果該進程是名稱可疑進程，請嘗試直接殺死進程，或者使用專業(yè)殺毒軟件進行殺毒后觀察實例的行為。

　　Wireshark

　　Wireshark是常用的網(wǎng)絡分析工具。您可以在Windows實例上從 Wireshark官網(wǎng) 下載軟件，并安裝。

　　使用Wireshark分析網(wǎng)絡流量操作步驟如下：

　　1.遠程連接實例

　　4.啟動Wireshark。

　　5.在工具欄里，選擇 Statistics > Conversations。

　　6.在 Conversations 頁面上，您可以看到所有網(wǎng)絡通信：從鏈路層、IP層、TCP層分別給出了流量的具體情況，通信兩端的流情況。通過抓取一段時間的網(wǎng)絡包可以分析究竟是哪些連接、端口占用了較高的流量。

　　

　　問題現(xiàn)象二：Windows實例帶寬和CPU跑滿或跑高排查

　　使用云服務器 ECS 時，若出現(xiàn)服務的速度變慢，或 ECS 實例突然斷開，可以考慮服務器帶寬和 CPU 是否有跑滿或跑高的問題。若您預先創(chuàng)建報警任務，當帶寬和 CPU 跑滿或跑高時，系統(tǒng)將自動進行報警提醒。Windows 系統(tǒng)下，您可以按如下步驟進行排查：

　　1. 定位問題。找到影響帶寬和 CPU 跑滿或跑高的具體進程。

　　2. 分析處理。排查影響帶寬和 CPU 跑滿或跑高的進程是否正常，并分類進行處理。

　　對于 正常進程：您需要對程序進行優(yōu)化或者升級服務器配置。

　　對于 異常進程：您可以手動對進程進行查殺，也可以讓使用第三方安全工具去查殺。

　　3. 定位問題

　　微軟有多個工具可以定位 CPU 和帶寬跑滿或跑高的問題，例如任務管理器，資源監(jiān)視器(Resource Monitor)，性能監(jiān)視器(Performance Monitor)， Process Explorer，Xperf (Windows server 2008 以后)，抓取系統(tǒng) Full Memory Dump 檢查。在流量大的情況下，您還可以使用 Wireshark 抓取一段時間的網(wǎng)絡包，分析流量使用情況。

　　注意： Windows 2008 版以上，通常使用系統(tǒng)自帶的資源監(jiān)視器監(jiān)控 CPU 和帶寬。

　　4.操作步驟

　　4.1在桌面底部單擊 開始 菜單，選擇 運行。

　　4.2 打開運行框后，在框中輸入 perfmon -res 并單擊 確定。

　　
4.3 在 資源監(jiān)視器 頁面中，查看各進程是否有 CPU 或帶寬跑滿/跑高的現(xiàn)象。

 

　　4.4 針對占用資源較高的進程，查看對應的進程 ID 和進程的程序名。

　　4.5 定位進程 ID 后，結合任務管理器判斷程序是否異常并定位程序的具體位置。

　　4.6 定位異常進程前，需要在任務管理器中選擇 查看(V) > 選擇列(S)… 。

　　4.7 在彈出的框中選擇 PID(進程標識符)，單擊 確定。

　　4.8任務管理器的 進程 頁面中，將會增加 PID 這一項。

　　單擊 PID 項，通過排序，找到之前資源監(jiān)視器查看到的異常進程。右擊進程名稱，選擇 打開文件位置，定位進程是不是惡意程序。

　　CPU 和帶寬跑滿或跑高的分析處理

　　您需要判斷影響 CPU 和帶寬跑滿或跑高的進程，屬于正常進程還是異常進程，并分類進行處理。

　　正常跑滿或跑高的分析處理

　　正常情況下，當客戶頻繁訪問業(yè)務，或由于 Windows 自身服務(更新服務等)都可能會占用較高網(wǎng)絡流量和 CPU 。針對正常進程導致的 CPU 和帶寬跑滿或跑高的情況，請按照如下順序逐一進行排查。

　　注意： Windows 2008 / Windows 2012 服務器建議內存配置在 2G 或者 2G 以上。

　　檢查后臺是否有執(zhí)行 Windows Update 的行為。

　　建議在服務器上安裝殺毒軟件，進行殺毒。如有安裝殺毒軟件，請檢查 CPU 或帶寬飆高時，殺毒軟件是否在后臺執(zhí)行掃描操作。如果可能，請升級殺毒軟件到最新版本，或者刪除殺毒軟件。

　　檢查該 ECS 內應用程序是否有大量的磁盤訪問/網(wǎng)絡訪問行為/高計算需求。通過嘗試增配實例規(guī)格的方式，使用更多核數(shù)/內存的規(guī)格來解決資源瓶頸問題，如升級帶寬。

　　若自身服務器配置較高，再去升級配置已經沒有太大意義。架構方面也并非是服務器配置越高就越好。此時，您需要嘗試進行應用分離，同時對相關程序進行優(yōu)化。示例說明如下

　　問題描述：當一個服務器上面同時部署了 MySQL，PHP，Web 等多種應用，即使配置比較高，也很容易出現(xiàn)資源負載異常。

　　解決方法：嘗試應用分離，通過不同的服務器去承載不同的應用。比如數(shù)據(jù)庫完全通過 RDS 來承載，減輕服務器本身的資源消耗和服務器內部大量的調用。而程序優(yōu)化方面，您可以根據(jù)自身的配置狀況進行調整，比如調整連接數(shù)和緩存配置，以及 Web 和數(shù)據(jù)庫調用時的各項參數(shù)等。

　　異常跑滿或跑高的分析處理

　　對于 CPU 和帶寬異常跑滿或跑高的情況，可能是被惡意病毒、木馬入侵導致的。有時三方惡意程序可能會利用操作系統(tǒng)的svchost.exe，或者 Tcpsvcs.exe來偽裝，引起高帶寬的占用。您需要手動對異常進程進行查殺。

　　注意：若您無法判斷進程是否為病毒或木馬，建議將進程名稱在網(wǎng)上進行搜索后確認。另外，建議您進行進程刪除操作前，提前創(chuàng)建快照完成備份。

　　使用商業(yè)版殺毒軟件，或使用微軟免費安全工具 Microsoft Safety Scanner，在安全模式下進行掃描殺毒，鏈接如下：https://www.microsoft.com/security/scanner/zh-cn/default.aspx 。

　　運行 Windows Update 來安裝最新的微軟安全補丁。

　　使用 MSconfig 禁用所有非微軟自帶服務驅動，檢查問題是否再次發(fā)生，具體請參考：如何在 Windows 中執(zhí)行干凈啟動。

　　若服務器或站點遭受 DDOS 攻擊或 CC 攻擊等，短期內產生大量的訪問需求。您可以登錄阿里云管理控制臺，查看云盾中的防護 DDOS 攻擊是否調整好閾值，并核實是否開啟 CC 防護。
 

　　【阿里云，阿里巴巴集團旗下云計算品牌，全球卓越的云計算技術和服務提供商。海商(www.hydrodefense.cn)作為阿里云湖南唯一授權服務中心，國內知名商城系統(tǒng)及商城網(wǎng)站建設提供商，專為企業(yè)提供專業(yè)完善電商整體解決方案、微商云、視頻云、醫(yī)療云等，咨詢阿里云服務器詳情可電聯(lián)：18684778716(微信同號)】