Xmonitor系统活动监控系统设计文档.doc

Xmonitor系统活动监控系统设计文档 1. 功能 该系统能监控域网内Windows系统节点机的系统活动（System Activity）,在服务器上的图形用户界面显示监控信息。能够监控的系统活动包括网络包的收发，文件的修改与创建，进程的执行，CPU使用率，电子邮件的收发。 2. 体系结构 2.1 体系结构图 2.1 体系结构说明 如图所示，整个系统部署在一个局域网内，有若干个客户端节点和一个服务器节点。每个客户端节点就是一个被监控的PC机。每个客户端上运行一个Client Agent，并且安装了数个探测器（Probe）。探测器可以监测该机器本地的各类需要监控的信息，它们由Client Agent统一管理。Client Agent将各探测器收集的信息发给服务器。服务器节点上部署一个MSDE数据库，并且运行一个Server Daemon和一个用户界面。Server Daemon负责接收各客户端发来的信息，用户界面显示各个客户端节点的各类被监控信息。图中每个Client Agent都可以根据用户需要加载若干个或者全部的探测器，为了便于显示，该图只画了一个Client Agent加载全部探测器的情况。活动模拟器是为测试方便所提供的，用按一定格式构造的文本文件信息来模拟各种活动，它提供与探测器一样的接口，也可以加载道Client Agent上，图中省去了一条连线。 3. 模块划分 3.1 系统模块图 3.2 模块介绍 如图所示：整个系统包括9个模块（每个矩形框代表一个模块），分为3层： 服务器：包括Server Daemon模块和用户界面模块。服务器Daemon负责接受客户端传过来的Activity Message,正确解析后存入数据库中。用户界面从数据库中读取数据显示在图形界面上。 客户端Agent：以?Windows服务形式存在。它装载本地的各种探测器和模拟器，收集本地的各种信息，构造Activity Message发送给Server Daemon. 客户端探测器和模拟器:包括5种类型的探测器（网络，文件，进程，CPU，邮件）和一个事件模拟器。它们都以动态链接库（DLL）形式存在，给Client Agent提供统一的调用接口。各探测器通过各自的探测技术监视系统的活动，收集系统活动信息传给Client Agent。模拟器通过读取事件模拟文件来将事件消息传给Client Agent。 4 服务器模块的实现 4.1 用户界面模块 4.2 Server Daemon模块 4.2.1 功能 监听局域网内其他机器上的Client Daemon。维护当前局域网内活动主机的列表，接收从Client Daemon发送过来的数据，解析后存入数据库，供前台XmonitorGUI程序读取显示，并定期（每60分钟）清理数据库中的过时信息，保证数据库不溢出。该模块以系统服务的方式在后台运行，用户可以通过XmonitorGUI对该模块进行启停操作。 4.2.2基本思想 采用多线程及异步通讯机制，构建能够快速处理多个连接和大量数据信息的网络服务器。接收到的数据包利用一个队列来管理。Server Daemon与每一个Client Daemon都保持一个TCP的常连接用于传输数据，该TCP连接由Server Daemon发起。整个Server Daemon共有三个线程，线程一负责两个任务：1、监听新加入的主机，与之建立TCP连接，更新活动主机列表（活动主机列表中包含TCP连接的信息）；2、监听所有TCP连接，当有数据到来时，接收数据包并加入队列。线程二负责解析数据包队列中的数据，并更新数据库。线程三是一个垃圾收集程序，它定期清理数据库中的过时信息。 4.2.3数据库设计 数据库名为trendinfo, 共包含6个表，分别为：cpuinfo, fileinfo, netinfo, processinfo, mailinfo, nodeinfo。 其中nodeinfo用于记录当前被监控主机的信息，其余5个表用于记录相应的监控信息。表的设计如下： 表名 字段名 字段类型 字段含义 cpuinfo childip varchar 活动主机ip cpuusage int cpu利用率 eventtime datetime 采集该记录的系统时间 fileinfo childip varchar 活动主机ip event varchar 文件操作类型 filename varchar 文件名 eventtime datetime 采集该记录的系统时间 netinfo childip varchar 活动主机i