全面追踪网络主机工作状态

为了让局域网高效、稳定运行，网管员不仅要在平时加强管理网络硬件设备，确保它们不在关键时刻掉链子，而且要及时全面追踪所有网络主机的工作状态，确保网络运行一切尽在掌控中。要做到这一点，可以请专业工具来帮忙，全力追踪网络主机各方面的工作状态，包括系统登录账号名称、系统登录时间、打开的窗口数量、运行的程序内容等等，利用追踪到手的信息，网管员或许能即时判断出哪些操作与平时工作没有关系，或者识别出哪些工作会威胁到局域网的运行安全，遇到一些特别危险的操作，网管员能够及时向网络主机用户发出警告甚至强制用户继续进行有危险的操作，从而保证网络始终处于健康稳定运行状态。

做好追踪前的准备

为了提高网络主机工作状态的追踪效率，本文特意为大家“请”来了专业工具ActivTrak Viewer，该工具能即时全面追查网络中所有客户机的工作状态，例如系统当前启动了哪些程序，当前开启了多少窗口，当前的操作是否对网络运行有威胁等等，根据这些信息网管员能分析出客户机用户的操作习惯，监控他们的操作内容。同时，该工具还允许网管员按需灵活定义各种触发报警动作以及报警规则，善于利用这些报警动作和规则，可以加强对网络客户机的运行控制，保证整个局域网始终能够安全、健康、高效运行。

要让ActivTrak Viewer工具发挥出全面追踪监控的作用，首先要从网上下载获得该工具的安装程序，按常规方法将其安装到局域网的服务器主机中，并双击系统桌面上的程序快捷图标，打开ActivTrak Viewer程序主界面，利用该界面中提供的“Remote Agent Install”功能命令，可以在服务器本地远程安装好对应工具的客户端程序，而不需要依次到客户机现场进行逐一安装，显然这项功能会大大提升网络管理和监控效率。在远程安装客户端程序时，首先需要进入待管理的客户机系统中，将文件共享功能开启成功。例如，在Windows 7系统中开启网络共享功能时，可以用鼠标右键单击系统托盘区域处的网络连接图标，执行右键菜单中的“打开网络和共享中心”命令，切换到网络和共享中心管理界面，单击左侧区域中的“更改适配器设置”按钮，弹出网络连接列表窗口，用鼠标右键单击本地连接图标，选择快捷菜单中的“属性”命令，展开如图1所示的网络连接属性对话框，选中这里的“Microsoft网络的文件和打印机共享”选项，确认之后网络共享功能就被成功启用。为方便远程安全客户端程序，我们还需要获取客户机的系统管理员账号，因为在远程安装过程中，需要输入登录账号名称与密码。

接着返回到服务器系统中，打开ActivTrak Viewer程序界面中的“File”菜单，从中执行“Remote Agent Install”命令，切换到如图1所示的远程安装对话框，在“enter computer name or IP address”文本框中输入需要被远程监控或管理的客户机IP地址或主机名称。当然，如果无法记得待管理的客户机名称或

含、小于等于、大于等于等选项，在这里我们可以选择“Contains”选项，以便让操作条件包含特定的应用程序名称。之后在“Value”文本框中输入需要包含的具体应用程序名称，这里我们应该输入“htzq. exe”，同时将“Case sensitive”选项取消选中，确保程序在监控过程中不会区分大小写字符。在确认上述设置正确后，按“OK”按钮保存设置操作，如此一来只要局域网中有客户机安装启用华泰证券软件进行在线炒股时，当前报警规则就会被立即触发。

之后需要对指定的报警规则设置触发动作，在进行这种设置操作时，打开报警规则设置对话框，之前我们创建好的“Executable Contains htzq.exe”规则已经自动显示在“Conditions”列表中了，如果发现该列表中没有自己想要的报警规则时，可以按“Add”按钮来重新添加需要的报警规则。下面将“Match any”选项选中，强制ActivTrak Viewer工具只要满足“Conditions”列表中的任意一条报警规则，都能自动执行规定的动作。如果要求严格一些，可以选中这里的“Match all”选项，让ActivTrak Viewer工具必须同时满足列表中的所有报警规则，才能执行规定动作。下面在“Actions”位置处设置好具体得动作形式，ActivTrak Viewer工具为用户提供了六种动作形式，包括列出报警历史记录、弹出信息提示对话框、发送电子邮件、屏幕截图、中断程序等，这里我们可以选中“Popup message”选项，让监控程序一旦扫描到局域网中的客户机在偷偷运行华泰证券软件时，立即在服务器端系统屏幕上弹出报警信息，点击“Popup message”选项旁边的“Setup”按钮，可以按照实际情况输入好具体的报警提示内容。ActivTrak Viewer工具缺省的报警规则信息或许不符合用户平时使用的语法习惯，它通过“$追踪对象$”方式来获取相关的追踪参数，例如使用“$Date/Time$”获取客户机的当前操作时间和日期，使用“$Executable$”获取对应系统运行的程序名称，使用“$Computer$”获取客户机的主机名称，使用“$IP Address$”获取客户机的IP地址，使用“$Active Title Bar$”获取当前打开窗口的标题名称。按照上述语法规则，我们可以将报警提示内容输入为“请注意！$User$用户在$Computer$客户机中偷偷运行$Executable$程序”，这样一旦报警规则被触发时，服务器端系统屏幕上会出现“请注意！aaa用户在bbb客户机中偷偷运行ccc程序”的提示信息；如果希望报警提示信息出现在客户端系统屏幕上时，可以选中“User popup message”选项。依照屏幕提示内容，我们就能十分方便地找到上班不守纪律的员工了。

如果想追踪监控客户机当前时刻的具体操作内容时，可以选中“Snap shots”选项，这样当网络中的客户机触发指定报警规则时，服务器端的ActivTrak Viewer工具就能自动抓取对应客户机的屏幕截图，缺省状态下只会抓取一张屏幕截图，如果想实现连续抓取时，可以按下“Setup”按钮，定义好屏幕截图的数量和抓图时间间隔，当要实现精确监控时，可以将截图数量设置得大一些，将截图时间间隔设置得短一些。如果监控到客户端系统中运行了一些与工作无关甚至会影响系统安全的应用程序时，可以选中“Terminate application”选项，当指定报警规则被触