Mais

Verifique se um único recurso está completamente dentro de outro (arcpy)

Verifique se um único recurso está completamente dentro de outro (arcpy)


Eu tenho uma classe de recurso que contém um recurso de polígono e preciso verificar se esse recurso está completamente dentro de outro recurso de polígono.

Usou selectLayerByLocation e, em seguida, recuperou a contagem (arcpy.GetCount_management) para algumas outras verificações baseadas em interseção que precisam ser feitas; neste caso, entretanto, há apenas um recurso na classe de recurso e recuperar a contagem retornará apenas um (independentemente de o polígono estar totalmente contido ou não).

Alguma ideia?


Uma maneira "divertida" de resolver o problema de haver apenas um recurso em sua classe de recurso de entrada seria criar uma camada de recurso para selecionar cada recurso (neste caso, 1) e, em seguida, executar selecionar camada por local com o parâmetroselection_type = "REMOVE_FROM_SELECTION". Em seguida, GetCount () retornará 0 se o recurso estiver realmente dentro do polígono (selecionado e, portanto, removido) e 1 se não estiver.

Um pouco para trás, então apenas lance para int enãoo resultado se você quiser que seu 0 seja 1.


A ferramenta Select Layer By Location (Data Management) tem vários valores overlap_type que você pode usar, então acho que você deve tentar:

COMPLETAMENTE_CONTAINS - Os recursos na camada de entrada serão selecionados se contiverem completamente um recurso de seleção. Os recursos de entrada devem ser polígonos.


Como funcionam os marcadores de perguntas?

Uma pergunta é marcada clicando no ícone abaixo do contador de votos:

Um número abaixo do ícone mostra o número de usuários que adicionaram uma pergunta específica aos favoritos. Adicionar uma pergunta aos favoritos basicamente diz que um determinado usuário deseja salvar essa pergunta para poder encontrá-la facilmente mais tarde. É completamente separado do sistema de votação e não tem impacto nas pontuações das perguntas ou na reputação do usuário. No entanto, ter uma pergunta marcada como favorita por um número suficiente de usuários o torna elegível para ganhar determinados emblemas.

Adicionar uma pergunta aos favoritos permite que você verifique facilmente quando as atualizações são feitas na postagem e consulte-a novamente no futuro.

Qualquer pergunta que você adicionar aos favoritos será listada em seu perfil de usuário na guia & quotbookmarks & quot. Isso permite que você encontre facilmente quando a questão pode se perder.

A guia de favoritos em seu perfil tem um contador que indica quantas de suas perguntas adicionadas receberam respostas desde a última vez que você viu essa guia. Ao clicar na guia, as perguntas alteradas recentemente serão destacadas. & quotChanged & quot inclui comentários ou edições na pergunta e respostas novas ou editadas. Esta é uma forma de obter atualizações sobre perguntas que você mesmo não fez.

Não há limite para o número de favoritos que você escolhe. Além disso, você pode remover um favorito a qualquer momento clicando no mesmo ícone na própria pergunta ou em seu perfil de usuário. Não há limite para o número de vezes que você pode adicionar ou remover uma pergunta de seus favoritos.

Para pesquisar em seus favoritos, adicione o termo inbookmarks: meu à sua consulta de pesquisa.

Você pode ver os favoritos de outros usuários na página de perfil do usuário e quais usuários marcaram uma pergunta específica usando essa consulta no site Data Explorer, por exemplo, a lista de usuários que marcaram essa mesma pergunta.


5 respostas 5

Didier Stevens forneceu dois scripts de código aberto baseados em Python para realizar análises de malware em PDF. Existem alguns outros que também irei destacar.

Os principais que você deseja executar primeiro são PDFiD (disponível outro com outras ferramentas de PDF de Didier) e Pyew.

Aqui está um artigo sobre como executar pdfid.py e ver os resultados esperados Aqui está outro para pyew.

Finalmente, após identificar possíveis JS, Javascript, AA, OpenAction e AcroForms - você desejará despejar esses objetos, filtrar o Javascript e produzir uma saída bruta. Isso é possível com pdf-parser.py.

Além disso, Brandon Dixon mantém algumas postagens de blog extremamente importantes sobre sua pesquisa com malware de PDF, incluindo uma postagem sobre pontuação de PDFs com base em filtros maliciosos, como você descreveu.

Eu, pessoalmente, executo todas essas ferramentas!

Acabei de ler esta postagem de blog muito recente de Lenny Zeltser, que está praticamente certa sobre o dinheiro

6 ferramentas gratuitas para analisar arquivos PDF maliciosos

As ferramentas que ele menciona são:

Há detalhes sobre cada um e links para outros documentos de análise de PDF na postagem do blog.

Nos últimos meses, tenho feito pesquisas sobre a análise de PDF e como ela poderia ser melhorada. Enquanto fazia a pesquisa, descobri que escrevia ferramentas e scripts para me ajudar a fazer o trabalho e decidi que era hora de criar algo mais útil. PDF X-RAY é uma ferramenta de análise estática que permite analisar arquivos PDF por meio de uma interface da web ou API. A ferramenta usa várias ferramentas de código aberto e código personalizado para pegar um PDF e transformá-lo em um formato compartilhável. O objetivo com esta ferramenta é centralizar a análise de PDF e começar a compartilhar comentários sobre os arquivos que são vistos.

O PDF X-RAY difere de todas as outras ferramentas porque não se concentra no arquivo único. Em vez disso, ele compara o arquivo que você carrega com milhares de arquivos PDF maliciosos em nosso repositório. Essas verificações procuram estruturas de dados semelhantes dentro do PDF que você carrega e aqueles que foram revisados ​​por analistas. Usando esse recurso, podemos começar a ver amostras codificadas compartilhadas entre arquivos maliciosos ou tendências devido a estilos de codificação de autores maliciosos. A ferramenta ainda está em beta, mas eu queria lançá-la ao público para ver o que os usuários pensavam. Na minha opinião, a API é a mais útil, já que você pode começar a integrar análises ricas de PDF em outras ferramentas e serviços com pouco ou nenhum custo.


  • Use um Ubuntu de 64 bits - A grande maioria dos PCs baseados em EFI usa firmware de 64 bits, e o Ubuntu é configurado de forma que você só pode instalar um Ubuntu de 64 bits em tais sistemas - pelo menos, por padrão. (É possível saltar obstáculos para instalar um Ubuntu de 32 bits, mas raramente há qualquer razão para fazer isso.)
  • Desativar inicialização rápida e hibernação no Windows -- Esses janelas recursos podem causar danos ao sistema de arquivos em um ambiente de inicialização dupla, então eles devo ser desativado. Consulte aqui e aqui para obter informações sobre como fazer isso. Observe que o recurso Windows Fast Startup é totalmente separado de um recurso em muitos EFIs com um nome semelhante. Desativar o recurso EFI raramente é necessário (mas às vezes é). Não está claro em sua descrição se você desativou o Windows ou o recurso EFI. Uma falha ao desativar esses recursos não causará os problemas que você encontrou, mas causará problemas mais tarde, portanto, você deve lidar com eles agora.
  • Desative o modo BIOS / CSM / legado em seu firmware -- Dentro a maioria (mas não todos) EFIs, esta opção, se ativa, torna-o É possível (mas não tenho certeza de que você irá) inicializar no modo BIOS. Desativando completamente esta opção geralmente (mas nem sempre) impede a inicialização neste modo. A nomenclatura do recurso CSM varia de um sistema para outro. Normalmente é um recurso que você deve desabilitar, mas em alguns casos você deve definir o modo de inicialização para "UEFI only" ou algo semelhante.
  • Prepare a mídia de inicialização adequadamente - Se você usar uma ferramenta para transformar um arquivo .iso em uma unidade flash USB inicializável, essa ferramenta pode ou não copiar o carregador de inicialização EFI para a unidade flash USB. Mesmo que o arquivo EFI / BOOT / bootx64.efi pareça estar presente, um EFI pode não gostar de alguns detalhes de como a unidade USB foi preparada (como sua tabela de partição). Pode ser necessário tentar outra ferramenta. Rufus geralmente faz um bom trabalho nisso. Eu forneço comentários adicionais sobre isso no final da minha página CSM, referenciada abaixo.
  • Use a opção de inicialização apropriada - Em muitos casos, você verá duas opções de inicialização para um meio de inicialização externo no gerenciador de inicialização do computador. Uma dessas opções inclui a string "UEFI" e outra não. Escolha aquele que inclui a string "UEFI" se ambos estiverem presentes; o outro provavelmente inicializará no modo BIOS.
  • Use "algo mais" - Em muitos casos, uma vez que você faz o instalador inicializar, as opções "instalar ao lado" estão faltando no menu do instalador do Ubuntu. Isso é simplesmente uma limitação do instalador e você deve usar a opção "Algo mais" (conforme descrito aqui) para solucionar esse problema.

Observe que desabilitar a inicialização segura raramente é necessário. Ubuntu oferece suporte a inicialização segura e normalmente funciona bem. Existem casos raros de incompatibilidade devido a bugs no EFI e / ou em um componente do Ubuntu, mas isso normalmente faz com que o instalador do Ubuntu falhe ao inicializar. A inicialização segura também pode complicar o uso de alguns drivers de terceiros após a inicialização.


Verifique se um único recurso está completamente dentro de outro (arcpy) - Sistemas de Informações Geográficas

T1. Você tem um aplicativo que usa um banco de dados MySQL de 100 GB que está migrando para a AWS. O que você deve considerar ao decidir se deseja hospedar o banco de dados em RDS para MySQL ou Aurora?

  • custo
  • facilidade de manutenção vs. granularidade de controle
  • todas essas respostas
  • o mecanismo de armazenamento atual usado pelo aplicativo, como InnoDB ou MyISAM

2º trimestre. Qual banco de dados é um tipo de banco de dados NoSQL que pode armazenar e recuperar rapidamente pares de valores-chave?

3º trimestre. Seu banco de dados é uma instância RDS que executa o SQL Server com replicação Multi-AZ e você tem vários utilitários de console .NET mais antigos que executam operações de banco de dados a cada 15 segundos. Quando o cluster precisa alternar o servidor de banco de dados primário para o AZ secundário, os utilitários .NET começam a relatar falhas de conexão ao banco de dados, embora outros aplicativos possam acessar o banco de dados. Como você corrige esse problema?

  • Use o console RDS para forçar uma reinicialização da instância do banco de dados para que o servidor primário se torne o servidor mestre novamente.
  • O servidor que executa os utilitários .NET está armazenando em cache a consulta DNS no endereço do cluster do banco de dados. Libere o cache DNS do servidor e force os utilitários C # a abrir novas conexões com o banco de dados.
  • O aplicativo A.NET manterá o endereço IP de uma string de conexão até que a máquina host seja reinicializada.
  • Os utilitários NET precisam alterar o ponto de extremidade do SQL Server nas cadeias de conexão para ler do servidor de banco de dados secundário usando um try / catch.

Q4. Quais serviços da AWS podem ajudá-lo a automatizar seu pipeline de desenvolvimento para integração e implantação contínuas?

Q5. Qual serviço da AWS está em conformidade com os padrões descritos no Padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) Nível 1 para o manuseio e transmissão de dados de cartão de crédito?

  • Gateway API
  • todas essas respostas
  • Serviço de fila simples (SQS)
  • Streams de dados Kinesis

Q6. Você tem uma grande quantidade de arquivos em seu storage array conectado à rede que devem ser arquivados e mantidos por um período de 10 anos devido às regulamentações do setor. Esses dados raramente serão acessados, mas devem ser mantidos. Qual é o melhor serviço da AWS para armazenar esses dados?

Q7. Para sua conta raiz da AWS, você gerou uma senha aleatória com o comprimento máximo permitido e incluiu caracteres especiais. Quais etapas adicionais você deve seguir para proteger sua conta root da AWS?

  • Crie uma função AM para o administrador da conta com os privilégios mais altos. Não armazene a senha do root, mas quando a conta do root for necessária, redefina a senha da conta do root via e-mail de confirmação e repita este procedimento.
  • Armazene sua senha gerada aleatoriamente em seu banco de dados de segredos organizacionais usando um serviço como 1Password ou LastPass e conceda acesso a esse segredo apenas para a equipe de DevOps.
  • Crie contas IAM para seus administradores e anexe a política de Acesso do Administrador a suas contas. Desative a conta root nas configurações do usuário.
  • Crie uma função IAM para o administrador da conta com os privilégios mais altos e não use a conta raiz nas operações do dia-a-dia. Habilite a autenticação de dois fatores na conta root

Q8. Qual opção de Elastic Load Balancing oferece suporte a Lambda como destino?

  • Balanceador de carga de rede
  • Lambda não pode ser chamado diretamente por solicitações recebidas da web. Você deve usar o API Gateway.
  • Balanceador de carga clássico
  • Balanceador de carga de aplicativo

Q9. Como você arquiteta uma solução para um banco de dados SQL Server a ser replicado nas regiões da AWS em uma arquitetura ativo-ativo?

  • Use o RDS para SQL Server e crie a mesma instância em duas regiões diferentes. Use o serviço de migração de banco de dados para manter cada banco de dados sincronizado.
  • Use uma VPN ou peering de VPC para estabelecer uma conexão entre as VPCs em cada região. Instale o SQL Server Enterprise Edition em instâncias EC2 em cada região e configure um grupo de disponibilidade Always On.
  • Use RDS para SQL Server 2016 ou 2017 Enterprise Edition. Ative o suporte Multi-AZ e selecione a opção Espelhamento / Sempre ativado. Selecione outra região para a opção de espelhamento.
  • Você não pode configurar uma arquitetura ativa-ativa para o SQL Server que abrange regiões geográficas.

Q10. Quanto custa iniciar uma instância EC2 do AWS Marketplace?

  • Todas as imagens no AWS Marketplace incorrem em taxas adicionais por hora, além das cobranças do tamanho da instância que você selecionar.
  • Você só pode iniciar imagens que foram criadas por outros usuários em sua conta da AWS, então você paga apenas pelo tamanho da instância que selecionar e os custos de armazenamento S3 para a imagem base.
  • Cada imagem tem seu próprio preço, que pode ser gratuito ou incluir taxas de licenciamento de software. Você também vai pagar pela instância em que a imagem é executada
  • Todas as imagens no AWS Marketplace contêm apenas software de código aberto sem taxas adicionais e são criadas por outros usuários da AWS. Você pagará apenas pelo tamanho da instância que selecionar.

Q11. Ao usar um cluster ECS com instâncias EC2, quais tarefas de manutenção você deve executar nos EC2s?

  • As instâncias criadas pelo ECS não têm patches que precisam ser aplicados, entretanto, você deve certificar-se de que seus contêineres contenham atualizações de segurança importantes.
  • Atualize o cluster com instâncias construídas a partir do ECS AMI mais recente.
  • Os clusters ECS não usam instâncias EC2.
  • Você não deve manipular diretamente as instâncias EC2 criadas pelo ECS. A AWS atualizará automaticamente essas instâncias.

Q12. Qual servidor de cache na memória não é compatível com o ElastiCache?

Q13. Qual serviço da AWS pode ser usado para ajudar a gerar a documentação exigida por vários padrões de conformidade, como o padrão de segurança de dados do setor de cartões de pagamento (PCI DSS) Nível 1 para o tratamento de dados de cartão de crédito?

  • Artefato
  • DocumentDB
  • Imprima o resumo de conformidade da AWS e guarde-o com a documentação necessária para uma auditoria.
  • Gerente de Segredos

Q14. Ao usar a AWS para pesquisa e desenvolvimento antes de uma migração planejada, como você evita aumentos ou picos inesperados no faturamento?

  • Use o painel de cobrança para criar um orçamento de custo. Insira o valor máximo que deseja cobrar a cada mês. Quaisquer cobranças que ocorrerem acima desse valor farão com que a AWS suspenda automaticamente esses recursos
  • Usando a conta raiz da AWS, ative o acesso IAM às informações de faturamento da conta. Certifique-se de que seus usuários IAM tenham a política Billing FullAccessGroup. Em seguida, no painel de faturamento, verifique as despesas acumuladas uma vez por dia.
  • Se você estiver usando o nível gratuito da AWS, terá que confirmar o uso de qualquer serviço que ultrapasse os limites do nível gratuito da AWS.
  • Usando a conta raiz da AWS, ative os alertas de cobrança nas preferências do usuário. Em seguida, use o CloudWatch para criar um alarme de faturamento e definir um limite para um valor específico em dólares para seus encargos mensais estimados.

Q15. Você está criando uma tabela do DynamoDB para armazenar todos os filmes lançados desde 1938. Seu aplicativo permitirá que os usuários pesquisem por título de filme e vejam os detalhes desse filme. Dado o exemplo abaixo mostrando os dados do filme que você importará, qual é o melhor conjunto de chaves para aplicar a esta tabela?

  • A chave primária deve ser uma chave de partição do campo de título.
  • A chave primária deve ser o campo de título e a chave de partição deve ser o campo de gêneros.
  • A chave primária deve ser uma chave composta composta de uma chave de partição no campo de título e uma chave de classificação no campo de ano.
  • A chave primária deve ser criada como um valor totalmente exclusivo, como uma lista numérica sequencial de IDs de filmes. A chave de partição deve ser o campo do título para uma pesquisa rápida.

Q16. Qual armazenamento de dados fornece uma maneira simples e rápida de armazenar atributos básicos do usuário em um formato baseado em objeto?

Q17. Você precisa de um banco de dados sem esquema. Qual serviço de banco de dados da Amazon fornece essa solução?

Q18. Qual canal de comunicação o SNS não oferece suporte nativo?

Q19. Ao projetar um aplicativo da Web sem servidor usando Lambda, qual conceito-chave você deve levar em consideração em seu design?

  • Os aplicativos da web sem servidor são executados no navegador do usuário, portanto, você precisará armazenar todos os dados alterados pelo usuário diretamente em um banco de dados.
  • Lambda só permite que você escreva funções em JavaScript.
  • Lambda não usa servidores, então ele só pode retornar a mesma solicitação para todos os usuários.
  • Lambda não tem estado, por isso não se lembra de quem é o usuário entre as solicitações.

Q20. Um princípio do DevOps é ver a infraestrutura como código. Qual serviço da AWS permite que você crie scripts de sua infraestrutura da AWS?

Q21. Você criou uma instância do Windows EC2 com um endereço IP público e instalou o SQL Server. Ao tentar se conectar ao SQL Server a partir do SQL Server Enterprise Manager em seu computador local, a instância do Windows EC2 não consegue estabelecer uma conexão com o servidor. Qual é a primeira coisa que você deve verificar?

  • Verifique as tabelas de roteamento do VPC.
  • Verifique se os grupos de segurança atribuídos permitem o tráfego da porta TCP 1433 de seu endereço IP atual.
  • Verifique as políticas no Firewall do Windows.
  • Verifique se você está se conectando à instância usando um usuário que não seja sa.

Q22. Você está hospedando um aplicativo configurado para transmitir mídia a seus clientes nas portas TCP 3380-3384, 3386-3388 e 3390. A guia Entrada abaixo mostra três políticas de grupo de segurança de entrada anexadas a esta instância. Qual política você deve usar?

  • A regra que expõe as portas TCP 3380-3390 também exporia publicamente a porta 3389 (RDP) para toda a Internet. Escreva regras separadas para expor apenas as portas necessárias.
  • A primeira regra do grupo de segurança permite todo o tráfego para esta instância. Expor toda a sua instância a toda a Internet deixa o servidor aberto a vários ataques de outros serviços em execução em diferentes números de porta.
  • Verifique se os proprietários da conta AWS realmente controlam todo o bloco CIDR C para 12.228.11.0-255 e se esses são IPs protegidos para acesso RDP a esta instância.
  • Não há recomendações a fazer.

Q23. Você tem quatro servidores web front-end atrás de um balanceador de carga, que usa NFS para acessar outra instância EC2 que redimensiona e armazena imagens para o aplicativo front-end. Quais políticas de grupo de segurança devem ser atribuídas a esses servidores?

  • Atribua Elastic IPs a todas as instâncias e crie um grupo que permita que todo o tráfego passe entre cada um dos cinco endereços Elastic IP e permita todo o tráfego HTTPS de entrada.
  • Os servidores da web front-end devem permitir HTTPS. Atribua outro grupo a todas as instâncias que permitem que todo o tráfego passe entre as instâncias usando esse grupo.
  • Crie um grupo de segurança que permita o tráfego de entrada NFS, HTTP e HTTPS de todos os endereços IP. Aplique este grupo a todos os servidores.
  • Crie um grupo de segurança que permita o tráfego HTTP e HTTPS de entrada de todos os endereços IP e aplique-o aos servidores da web. Crie um segundo grupo de segurança para o armazenamento de arquivos NFS que permite o tráfego NFS de saída para o intervalo de IP privado dos servidores Web front-end.

Q24. Você tem um servidor da web Linux EC2 que repentinamente está expirando em todas as solicitações HTTP e suas tentativas de conexão SSH estão expirando. Você percebe que ele está falhando na verificação de status do sistema no console do EC2. Que ação você deve tomar?

  • Restaure a instância da última imagem AMI. As verificações de status do sistema indicam que o sistema de arquivos na instância está corrompido.
  • Pare e inicie a instância. Isso moverá a instância para outro host.
  • Entre em contato com o suporte da AWS. A falha em uma verificação de status do sistema indica uma falha no hardware subjacente e deve ser tratada por um representante da AWS.
  • Reinicialize a instância. Isso irá parar e iniciar a instância e movê-la para outro host.

Q25. Você tem vários servidores locais e gostaria de armazenar seus backups externos na AWS. Qual serviço de backup totalmente gerenciado você pode usar para enviar seus backups para a AWS?

  • O Windows Server 2016 oferece suporte a S3 como destino ao usar réplicas de armazenamento.
  • Use o gateway de armazenamento.
  • Sincronize arquivos diretamente para o S3 com o AWS CLI.
  • Use o console RDS para forçar uma reinicialização da instância do banco de dados para que o servidor primário se torne o servidor mestre novamente.

Q26. Qual é a prática recomendada para criar um banco de dados PostgreSQL altamente disponível em RDS que pode sustentar a perda de uma única região da AWS?

  • PostgreSQL não pode ser replicado entre regiões. Restaure os backups de banco de dados de um bucket S3 e reponha suas conexões de banco de dados para a nova instância.
  • Crie réplicas de leitura em outras regiões da AWS. Você pode designar um novo banco de dados mestre de qualquer uma das réplicas de leitura até que a falha regional seja resolvida.
  • Verifique se sua instância está configurada para suporte Multi-AZ. As alterações do banco de dados serão sincronizadas automaticamente com outra região no caso de uma falha e o RDS selecionará automaticamente um novo mestre até que a falha regional seja resolvida.
  • Crie réplicas de leitura em outras regiões da AWS. Certifique-se de que as operações de leitura no banco de dados ocorram em uma réplica de leitura disponível e envie as operações de gravação para outra região se precisar promover uma réplica de leitura a um banco de dados autônomo se o mestre estiver inativo.

Q27. Você criou uma nova instância do Linux EC2 e instalou o PostgreSQL, mas não consegue estabelecer uma conexão com o servidor a partir do computador local. Quais etapas você executa para resolver esse problema?

  • Crie uma regra de grupo de segurança que permite todo o tráfego de 0.0.0.0/0. Isso verificará se outra regra está negando o tráfego ou não.
  • Verifique se os grupos de segurança atribuídos permitem o tráfego de seu endereço IP para a porta 5432. Verifique se o PostgreSQL está configurado para ouvir o tráfego externo e vinculado à interface pública.
  • Certifique-se de estar usando um Elastic IP e de que ele esteja incluído no arquivo de configuração postgresql.conf.
  • Pare e inicie a instância. As novas regras do grupo de segurança só terão efeito após uma reinicialização.

Q28. O que o corpo da instrução desta política de bucket S3 faz?

  • bucketpolicy1 permite que qualquer usuário execute qualquer ação nos objetos no bucket userreports, mas limita os objetos a permissões somente leitura para qualquer um vindo de 68.249.108.0 a 68.249.108.255 - exceto 68.249.108.128.
  • bucketpolicy1 permite que qualquer usuário vindo do intervalo de IP de 68.249.108.0 acesse objetos no bucket userreports e nega acesso a 68.249.108.128.
  • bucketpolicy1 permite que qualquer usuário execute qualquer ação nos objetos no bucket userreports - exceto qualquer um vindo do IP de 68.249.108.128.
  • O bucketpolicy1 permite que qualquer usuário vindo do intervalo de IP de 68.249.108.0 a 68.249.108.255 acesse objetos no bucket de relatórios do usuário - exceto qualquer um vindo do IP de 68.249.108.128.

Q29. Um novo desenvolvedor foi adicionado à equipe e você foi solicitado a fornecer acesso à conta AWS da organização. Qual é a prática recomendada para conceder acesso?

  • Forneça ao novo desenvolvedor o login do IAM atribuído à equipe de desenvolvimento. Este usuário IAM já deve incluir todas as políticas de que um desenvolvedor precisa.
  • Crie um usuário IAM para o novo desenvolvedor. Atribua manualmente as políticas à nova conta de usuário do IAM.
  • Não conceda ao novo desenvolvedor acesso ao console da AWS. Usando o usuário IAM atribuído ao grupo de desenvolvimento, gere um novo conjunto de chaves de acesso e rotule-as com o nome do desenvolvedor.
  • Crie um usuário IAM para o novo desenvolvedor. Atribua ao novo desenvolvedor um grupo de desenvolvedores já criado para os outros desenvolvedores.

Q30. Ao iniciar uma instância EC2 com um tipo de instância que suporta armazenamento de instância, qual caso de uso é melhor para armazenamento de instância?

  • Use o armazenamento da instância para servir arquivos temporários que requerem baixa latência de E / S.
  • Use o armazenamento da instância para lidar com arquivos carregados por seus usuários. Por ser mais seguro do que um volume EBS, você pode isolar qualquer arquivo malicioso de infectar seu servidor.
  • O armazenamento da instância é mais rápido do que os volumes EBS, portanto, instale a raiz do sistema operacional neste volume para acelerar o desempenho do servidor.
  • O armazenamento de instância é uma opção obsoleta para armazenamento e não deve ser usado.

Q31. Qual é a prática recomendada para dimensionar horizontalmente um aplicativo Web ASP.NET herdado que depende do Active Directory e está atualmente implantado em uma única instância do Windows EC2?

  • Use o Sysprep para encerrar a instância durante uma janela de manutenção. Crie uma imagem AMI e coloque ambos os servidores atrás do Balanceador de Carga de Aplicativo com sessões persistentes.
  • Inicie um novo EC2 com a versão mais recente do Windows Server e instale o aplicativo novamente. Use o Application Load Balancer e sessões persistentes para equilibrar entre os dois servidores.
  • Crie um clone do servidor usando uma imagem AMI e o Balanceador de Carga de Aplicativo do usuário para equilibrar o tráfego entre as duas instâncias usando sessões persistentes.
  • A escala horizontal não é a melhor prática nesta situação. Aumente o tamanho da instância EC2 existente e dimensione verticalmente o aplicativo.

Q32. O que esta pequena seção de um modelo CloudFormation faz?

  • Ele grava os logs de fluxo de rede VPC no grupo de logs CloudWatch FlowLogsGroup. Você pode usar isso para inspecionar as conexões de rede do seu VPC.
  • Ele registra todo o tráfego de rede em um VPC, exceto os IDs de instância definidos por LogVpcID e os registra no grupo de logs CloudWatch FlowLogsGroup.
  • Ele registra todo o tráfego de rede que vai de e para uma única instância EC2 no grupo de log CloudWatch FlowLogsGroup. Você pode usar isso para inspecionar o tráfego de rede suspeito que entra em uma instância EC2.
  • Ele registra todas as solicitações de DNS feitas por recursos em um VPC e os registra no CloudWatch FlowLogsGroup. Use isso para diagnosticar erros de pesquisa de DNS em seu ambiente.

Q33. Você está executando contêineres Docker no ECS. Qual é a métrica mais importante para monitorar?

  • A contagem do contêiner em execução para cada serviço de dentro do CloudWatch.
  • A integridade da instância de cada instância EC2 em seu cluster de dentro do CloudWatch.
  • Monitore o painel de serviço EC2. Fique atento a interrupções publicadas no serviço ECS.
  • O consumo de memória de cada instância EC2 em seu cluster de dentro do CloudWatch.

Q34. O Application Load Balancer pode rotear o tráfego para vários grupos de destino diferentes com base em várias condições. Qual desses casos de uso não é compatível com o Application Load Balancer?

  • Uma solicitação com um cabeçalho HTTP de X-Requested-With: staging pode ser roteada para um grupo de destino para um serviço ECS em seu ambiente de staging.
  • Os IPs de origem correspondentes a 192.0.2.0/24 em uma porta de escuta de 1433 podem ser roteados para um grupo de destino para um RDS para cluster do SQL Server.
  • Um caminho de / signup * pode ser roteado para um grupo de destino para uma função Lambda que processa novos registros de usuário.
  • Uma string de consulta Http POST de? action = createuser pode ser roteado para um grupo de destino para um serviço ECS.
  • cria uma rede baseada em nuvem para interconectar um conjunto de servidores e dispositivos virtuais
  • cria um túnel seguro entre duas redes
  • cria um plano de armazenamento compartilhado para que os dados do aplicativo sejam compartilhados entre várias instâncias.
  • cria uma rede privada completamente isolada da Internet pública.

Q36. Você pode perder o endereço IP público associado à sua instância EC2?

  • Sim, você pode perdê-lo se reiniciar a instância.
  • Sim, você pode perdê-lo se parar e iniciar a instância.
  • Não, você nunca perderá o endereço IP público de sua instância.
  • Sim, você pode perdê-lo ao editar as propriedades da instância e liberar o endereço IP.

Q37. Qual é o melhor lugar para armazenar backups de banco de dados em uma instância EC2 configurada como servidor de banco de dados?

  • um bucket S3, sincronizado com os backups de banco de dados por meio de um script que chama o AWS CLI
  • Volume EBS anexado à instância
  • instância anexada à instância
  • armazenamento de instância, com um script que replica os backups de banco de dados para outra instância em uma zona de disponibilidade diferente.

Q38. Qual dessas é uma restrição válida nas propriedades de um VPC?

  • Você pode ter apenas 10 gateways de Internet por região em uma nova conta da AWS.
  • Você pode ter apenas 10 VPCs por região em uma nova conta AWS
  • Você não pode criar um bloco CIDR com uma máscara de rede maior que / 16
  • Você pode ter apenas 10 sub-redes em um VPC

Q39. Você tem uma instância do Linux EC2 que não está respondendo às solicitações e não pode se conectar a ela via SSH. Usando o console EC2, você emitiu um comando para interromper a instância, mas nos últimos 10 minutos a instância esteve no estado "interrompendo". Qual é o próximo passo que você deve dar?

  • Emita outra ação de interrupção por meio do console EC2 e escolha a opção de interromper a instância à força.
  • Crie uma imagem AMI da instância e escolha a opção de obter a imagem sem reiniciar a instância.
  • Edite as propriedades da instância e aumente o tamanho da instância.
  • Entre em contato com o suporte da AWS. Quaisquer outras ações podem corromper o sistema de arquivos.

Q40. Você tem 14 servidores da web locais, 4 servidores de banco de dados, 6 servidores usando software GIS, 3 servidores de arquivos e 4 servidores de desenvolvimento. Que considerações você deve levar em consideração ao migrar esses servidores para a AWS?

  • A AWS não tem uma maneira de separar o faturamento para custos de computação, então você precisará projetar uma maneira de dividir o orçamento entre os departamentos.
  • As novas contas da AWS são limitadas a 20 instâncias EC2 sob demanda. Envie uma solicitação para aumentar seus limites de taxa antes de iniciar uma migração.

Q41. Conforme seu aplicativo da web cresce e suas necessidades de monitoramento de aplicativo se tornam mais complexas, qual serviço de monitoramento de log adicional você NÃO deve considerar?

Q42. Você tem uma instância T2 EC2 que é crítica para sua infraestrutura. Como você monitoraria a métrica mais importante para esta instância?

  • Ative o CloudWatch Auto Recovery e coloque monitores nas verificações de Status do Sistema e Status da Instância para que a instância o notifique quando alguma estiver em alarme.
  • Use o CloudWatch para colocar monitores nos créditos de CPU restantes. Se você ficar sem crédito de CPU, a instância será interrompida.

Q43. Qual recurso pode ser usado para responder a um aumento repentino no tráfego da web?

  • Grupos EC2 Auto Scaling
  • AWS Shield Advanced
  • Réplicas de leitura RDS
  • todas essas respostas

Q44. Se um conjunto de servidores estiver localizado em uma sub-rede privada de seu VPC, como você pode conectar esses servidores a servidores locais?

  • Estabeleça uma conexão com o AWS Direct Connect.
  • Use o AWS Client VPN.
  • Instale um servidor OpenVPN em uma instância localizada na sub-rede com um IP elástico.
  • Todas essas opções podem estabelecer uma conexão com uma sub-rede privada.

Q45. Você tem um balanceador de carga UDP criado por uma instância que está executando um proxy NGINX. Sua solução de gerenciamento de desempenho de aplicativo (APM) pode detectar falhas em sua instância do balanceador de carga e transferir o Elastic IP para uma instância em espera passiva. Usando o AWS CLI, qual script você programa em seu APM para mover o Elastic IP?

Q46. Qual serviço pode hospedar seus contêineres Docker?

  • Vela luminosa
  • Elastic Container Service (ECS)
  • Elastic Compute Cloud (EC2)
  • Todos esses serviços podem hospedar um contêiner Docker.

Q47. No console S3, abaixo da coluna Access, o que o emblema público ao lado do nome do bucket indica?

  • Todos os objetos neste intervalo são atribuídos ao acesso público e podem ser lidos ou gravados por qualquer pessoa na Internet. Certifique-se de que nenhum dado confidencial seja compartilhado publicamente neste intervalo.
  • All objects within this bucket are writable, which means that the public internet has the ability to upload any file directly to your S3 bucket. Your S3 bucket could be used to serve malware.
  • Some objects within this bucket are assigned public access. Verify that any publicly shared objects within this bucket contain no sensitive data.
  • Objects within this bucket can be made public, if the ACL on that object is set to allow everyone access. Private buckets do not allow you to set public permissions on any object.

Q48. What privilege is specific to the AWS root account, and cannot be granted to another IAM user on the account?

  • Revoke the AdministratorAccess role or grant it to another IAM user.
  • Create a new hosted zone in Route 53.
  • Delete the AWS account.
  • Modify the billing details.

Q49. Your application is sending 50,000 emails through SES each day. Since you must maintain a low bounce rate to avoid being put on probation, what simple system do you architect to automatically process hard bounces?

  • Configure SES to send all bounce events to an SNS topic. Create a Lambda function that processes each hard bounce event and automatically flags that account as a bounce in your application to prevent further sending attempts.
  • Configure SES to no longer send to email addresses that are on your bounce list.
  • Configure SES to send the logs of all delivery attempts through Kinesis Firehose. Process each event and look for bounce types and remove these emails from your list.
  • Send all emails through SES with a custom reply-to header. Configure SES to listen for events on this email address and flag any email address that replies to this account as a bounced message and remove it from your email list.

Q50. Your web application is getting a suspicious amount of bad requests from foreign IP addresses. Your business is operating in only a few countries and you would like to block any other traffic. What is the best practice for limiting access to your web application by country?

  • Use Web Application Firewall and create a geo match condition to drop all requests from countries that aren't on your allow list.
  • Use Application Load Balancer to create a new routing rule that looks at source IP address. Add an IP block for the countries that have access.
  • Host the front end of your website in CloudFront and configure a geo restriction on the distribution.
  • Use CloudTrail to monitor the IP addresses of the bad requests. Use Lambda to add these IP addresses to an Application Load Balancer rule that blocks the IPs.

Q51. What is the best practice for maintaining Windows EC2 instances and applying updates?

  • Turn on auto update in Windows Update on each EC2 that is launched, or create your own AMI with this feature enabled and launch all of your EC2 instances from this AMI.
  • Create a maintenance schedule that an employee must fill out each week confirming a visual inspection of each instance was conducted and which patches were applied.
  • Use AWS Systems Manager Patch Manager to find an patch instances that require updates during a set maintenance window.
  • Install Window Server Update Services on your primary Active Directory controller.

Q52. In addition to CloudFormation, you can use other orchestration tools to automate server formation and maintenance. Which tool is não an efficient choice for the orchestration of a large infrastructure?

Q53. What happens to a SQL Server RDS instance if the databases increase in size and go over the allocated space?

  • RDS will automatically increase the allocated space by 10% and will send the AWS root account an email with resolution steps. Allocate more space to avoid overage charges.
  • The database instance will report a STORAGE_FULL status and become inaccessible if the instance does not have enough remaining storage to operate. Allocate more space to the instance.
  • SQL Server will close all existing connections to the databases and attempt to shrink its log files to reclaim storage space.
  • RDS will automatically increase the allocated space by 5% and will continue to allocate new space up to 50% of the orginal allocated space. When storage space has increase 50%, RDS will automatically stop the instance to preserve data integrity.

Q54. You have a fleet of IoT devices that send telemetry to a server-side application provided by your IoT vendor for decoding a proprietary messaging format. The devices are provisioned to send telemetry reports to your server via UDP on port 6339. What is the best way scale this server as more Iot devices are added to your fleet?

  • Use a Network Load Balancer to distribute the traffic across your servers. Use UDP health checks to determine if the server is available to receive traffic.
  • Use Route 53 with HTTP health checks. Create an application on the server to report the readiness status of the vendor-provided server software to Route 53 via HTTP.
  • Use Route 53 with UDP health checks. As you scale up, Route 53 wiwll route the traffic to the new servers if they pass the health checks.
  • Use Application Load Balancer to distribute the traffic across your servers.

Q55. the outbound rules of a security group only allow traffic going to 0.0.0.0/0 on TCP Port 22 (SSH) and TCP port 3306 (MySQL). Review the inbound rules listed in the image below. What is the most important issue to fix with this security group configuration, for an Ubuntu EC2 instance acting as a web server?

  • The outbound rules block UDP port 53, so the server will not be able to resolve any DNS lookups.
  • The outbound rules do not allow for HTTP traffic to leave the instance, so inbound HTTP requests will fail because the clients will never get HTTP responses.
  • The incoming SSH port should not be open to the public. Limit SSH to a single IP address or IP range of controlled addressed, or use a VPN to access the VPC for this server.
  • The all incoming TCP ports are exposed, which overrides the HTTP and SSH rules and exposes all TCP ports to the public internet.

Q56. An EC2 instance running a WordPress site keeps getting hacked, even though you have restored the server several times and have patched WordPress. What AWS service can help you detect and prevent further attacks?

Q57. A nontechnical client wants to migrate a WordPress site to AWS from a private server managed by a third-party hosting company. Which AWS service should you recommend to migrate the site to?

  • CloudFront
  • An EC2 instance launched from the official WordPress AMI
  • S3
  • Lightsail

Q58. Your company has on-premise servers with an existing onsite backup solution that also replicates backups to another campus on the other side of the country with its own on-site backup solution. You have been asked to create a third level of redundancy by also storing these backups in the cloud. In the event of a primary and secondary backup failure, your boss wants to know that the cloud backups can be accessible as fast as possible to reduce downtime during the recovery. What S3 storage class do you recommend for cost and performance?

  • S3 Standard
  • S3 Intelligent-Tiering
  • S3 Glacier
  • S3 One Zone-Infrequent Access

Q59. Which big data store will let you store large streams of user activity data coming from both web and mobile applications?

Q60. What option is best for Auto Scaling your EC2 instances for predictable traffic patterns?

  • scale based on a schedule
  • manual scaling
  • scale based on demand
  • maintain current levels at all times

Q61. You are migrating an on-premise RabbitMQ cluster into AWS. Which migration path should you choose for ease of both maintenance and deployment?

  • Rewrite the parts of your application that use RabbitMQ to use SQS.
  • Launch a RabbitMQ cluster with EC2 instances using a supported AMI.
  • Rewrite the parts of your application that use RabbitMQ to use Kinesis.
  • Rewrite the parts of your application that use RabbitMQ to use Amazon MQ.

Q62. When creating a new RDS instance, what does the Multi-AZ option do?

  • replicates backups of your database to S3 and makes them available across regions to prevent against any data loss
  • creates a second passive database instance within the same region that will become the primary database during a failover
  • creates a highly available database cluster that will host your database cluster in at least two regions
  • creates another database instance in another region and keeps a hot standby active to failover to during regional failures

Q62. What is the best EC2 instance class for a server that continuously has a heavy CPU load?

Q63. Your application performance management (APM) system can read the status of your CloudWatch monitors and perform scripted actions. When the CloudWatch metric StatusCheckFailed enters a failed state (a value of 1), you would like your APM to automatically repair the instance. Which script do you use?

Q64. What is wrong with the third incoming security group rule, which allows all traffic from sg-269afc5e to go to an

Ubuntu EC2 instance configured as a web server?

  • All traffic on all ports is being denied into this instance, which overwrites the HTTP rule and makes it redundant.
  • The instance was launched with the default security group, but there is no way for an administrator to SSH into the instance. Add another rule that allows for SSH access from a secured source, such as a single IP or a range of managed IP addresses.
  • There is nothing wrong with this security group rule. Assuming that sg-269afc5e is applied to other resources that are properly secured, this rule allows all traffic to pass through that is also assigned security group sg-269afc5e.
  • ?> All traffic on all ports are allowed into this instance. This exposes the instance to all public internet traffic and overwrites the incoming HTTP rule.

Q65. You have a VPC that has a public and private subnet. There is a NAT gateway in the public subnet that allows instances in the private subnet to access the internet without having public exposure outside of the VPC. What should the routing tables be for the private subnet?

Q66. To comply with auditing requirements of some compliance standards, which AWS tool can be enabled to maintain an audit log of access and changes to your AWS infrastructure?

Q67. You have an application that generates long-running reports, stores them in an S3 bucket, and then emails the user who requested

the report with a link to download it. What is the best practice for storing the report data in S3?

  • Create a public S3 bucket. When your application creates the report object in S3, generate two randomly generated long folder names and place the file within the deepest subfolder. Set the retention policy on the object to one hour and email this link to the user. The link will be active for one hour.
  • Create a public S3 bucket. Use a hash of the user's email address and the date and time the report was requested to generate a unique object name. Email this link to the user and have a scheduled task run within your application to remove objects that are older than seven days.
  • Create a private S3 bucket. The link in the email should take the user to your application, where you can verify the active user session or force the user to log in. After verifying the user has rights to access this file, have the application retrieve the object from S3 and return it in the HTTP response. Delete the file from the S3 bucket after the request is completed.
  • Create a private S3 bucket. The link in the email should take the user to your application, where you can verify the active user session or force the user to log in. Set the report object in S3 to public. Show the user a "Download" button in the browser that links to the public object.

Q68. When sending a large volume of email through SES, what is the most important set of metrics to monitor?

  • your complaint and bounce rates
  • opens and clicks
  • clicks and deliveries
  • sending volume over the past 15 minutes and over one day to watch for billing spikes

Q69. You are going to host an application that uses a MySQL database. Which database should you select if you don't want to manage

scaling or database administration tasks?

  • Launch an AMI image from the marketplace containing a preconfigured MySQL server.
  • Aurora
  • RDS for MySQL
  • Redshift

Q70. A form in web application is sending sign-up data to "http://example.com/signup/new?source=web" and this data needs to be handled by an ECS service behind Application Load Balancer (ALB). Which ALB rule will route this request?

Q71. Which AWS service can host the web application server for a WordPress site?

Q72. What does the following AWS CLI create-service command for ECS do?

  • changes the security groups of the running rest-api task
  • creates a cluster called production and launches two containers into Farget with the rest-api task definition
  • launches two containers onto Farget into the existing production cluster using the rest-api task definition
  • creates a service definition for the rest-api task put two containers on the production cluster when launched ecs-cli up command

Q73. You want to make your public API quickly accessible from all regions. What is the best way to do this?

  • Create a single API gateway endpoint in a central region.
  • Create a private API gateway endpoint for each region.
  • Create a regional API gateway endpoint for each region.
  • Create edge-optimized API gateway endpoints and deploy them to a CloudFront network.

Q74. What type of data solution should you use for data coming from nonrelational and relational data from IoT devices, websites, mobile apps, etc.?


Indeed there is a way, using the Wireshark filters. But you cannot filter directly by process name or PID (because they are not a network quantities).

You should first figure out the protocols and the ports used by your process (the netstat command in the previous comment works well).

Then use Wireshark to filter the inbound (or outbound) port with the one you just retrieve. That should isolate the incoming and outcoming traffic of your process.

To start and monitor an new process:

To monitor an existing process with a known PID:

  • -f is for "follow new processes"
  • -e defines a filter
  • -s sets the limit of strings to more then 32
  • -p takes the process id to attach to

I know this thread is a bit old but I think this might help some of you:

If your kernel allows it, capturing the network traffic of a single process is very easily done by running the said process in an isolated network namespace and using wireshark (or other standard networking tools) in the said namespace as well.

The setup might seem a bit complex, but once you understand it and become familiar with it, it will ease your work so much.

create a test network namespace:

create a pair of virtual network interfaces (veth-a and veth-b):

change the active namespace of the veth-a interface:

configure the IP addresses of the virtual interfaces:

configure the routing in the test namespace:

activate ip_forward and establish a NAT rule to forward the traffic coming in from the namespace you created (you have to adjust the network interface and SNAT ip address):

(You can also use the MASQUERADE rule if you prefer)

finally, you can run the process you want to analyze in the new namespace, and wireshark too:

You'll have to monitor the veth-a interface.

That will show the connections an application is making including the port being used.

Just an idea: Is it possible to bind your application to a different IP address? If so, you can use the usual suspects (tcpdump, etc.)

Tools for applications which are not capable of binding to another IP address:

fixsrcip is a tool for binding outgoing TCP and UDP client sockets (IPv4) to specific source IP addresses on multi-homed hosts

force_bind allows you to force binding on a specific IP and/or port. It works with both IPv4 and IPv6.

I have come to a similar issue and I was able to sort it out based on this answer by ioerror, using NFLOG as described here:

Then you can create run the process in question from a user account that doesn't do anything else - and voila, you have just isolated and captured traffic from a single process.

Just wanted to post back in case it helps anyone.

I wrote a C application that does what is described in the great answer above by felahdab!

It does exactly what you want, you can either give it a process ID or a program to run.

This is a dirty hack but I'd suggest either a divert or a log target with iptables for a given UID. eg:

It might also be worth looking into something like '--log-tcp-sequence', '--log-tcp-options', '--log-ip-options', '--log-uid' for that log target. Though I suspect that will only help you post process a pcap that includes a ton of other data.

The NFLOG target might be useful if you want to flag packets and then certain tagged packets will be sent over a netlink socket to a process of your choosing. I wonder if that would be useful for hacking up something with wireshark and your specific application running as a specific user?


Best Azure Tools for Monitoring Performance

Performance metrics for servers, databases, applications, and network connections are some of the most important metrics for monitoring. This section of the guide focuses on pure performance monitoring. It’s geared toward those of you who want to home in on performance metrics, or who are looking to supplement tools already monitoring other aspects of your Azure services.

SolarWinds Server & Application Monitor (SAM) tops the list as the best Azure monitoring tool for performance. It offers a range of Azure monitoring approaches, including IaaS and PaaS monitoring, in addition to performance monitoring.

Performance monitoring with SAM includes Azure application and infrastructure monitoring, and general monitoring for Microsoft systems, applications, and cloud resources from one console. SAM uses dynamic baselining to set clear expectations of server and application performance and includes alerting features for when things aren’t behaving normally. It allows you to visualize performance metrics in an easy-to-understand way, with tools to correlate these metrics across your entire environment, so you can determine which parts of your environment are performing poorly and how the performance might be causing follow-on issues.

Among its many features, SAM undertakes Azure IaaS monitoring, including monitoring of virtual machine performance, and the performance of Kubernetes. With an auto-discovery system, you can be sure your Azure virtual machines and containers are being monitored. Once you have discovered all the virtual machines in your Azure service, SAM can perform Azure cloud VM management, so you can keep tabs on the performance of your virtual setup. It includes information on how your VMs are communicating across your network, and how VMs and applications are communicating and connected.

Regarding PaaS monitoring, SAM provides service metrics along with key component metrics like CPU performance, available memory, number of requests, response times for devices and components, and information on Azure workloads. Finally, it provides application monitoring, allowing you to look at infrastructure metrics and then compare them to the performance of your applications. With Azure performance over time, and information on configuration, security, and Azure region, you can keep track of your entire Azure setup.

SolarWinds AppOptics ™ provides server and infrastructure monitoring, and application performance monitoring. It can work with custom metrics and analysis, so you can analyze custom infrastructures, applications, and business metrics.

The application performance monitoring component is extensive, with support for a large number of frameworks and libraries, including Go, Java, .NET, PHP, Ruby, Python, and Node.js. It also undertakes distributed performance tracing across processes and hosts, and to the data center. This ensures you can easily get to root-cause analytics from looking at application performance trends.

In addition to application monitoring, AppOptics includes a unified dashboard for server and infrastructure monitoring. This helps speed up MTTR for issues on the front end, and it can work well with hybrid and cloud-native environments including Microsoft Azure.

One of this tool’s great features is it provides custom metrics and analytics, so you can customize the entire tool based on the specific information you’re looking to record and examine. You can use tags to filter and group data in many ways to drill down into particular datasets (filtering options include cloud regions, instance types, and availability zones). AppOptics can also track one metric over time, and then compare past performance to current performance.

You can request a demo of AppOptics, or try it free for 14 days.

SolarWinds Database Performance Analyzer (DPA) is a great performance monitoring tool designed specifically for databases. Monitoring the performance of your databases is important, as slow database access can have a major impact on the other applications and services you offer.

With DPA, you can track the performance of relational database operations, host server and operating system, virtualization resources, and storage I/O. This gives you a comprehensive overview of how your databases are performing, and how they may be affecting the performance of your applications. You can use SolarWinds DPA with Microsoft Azure, SQL Server, and SQL databases.

The tool provides 24/7 monitoring and accumulates a large backlog of historical information, which helps to set accurate baselines. Using these baselines, it can easily determine unusual behavior and notify you of bottlenecks or spikes in wait time. To figure out why the issue is occurring and where it’s coming from, DPA incorporates several correlated resource metrics. It can go so far as to perform detailed blocking and deadlock analysis, looking at the blocking tree to see which queries and sessions were involved in the slowdown.

From there, DPA can help you to optimize and fine tune performance going forward, so you run into fewer issues in the future. It includes a repository of table tuning best practices, against which you can check your own practices to make improvements where necessary. This means you can ensure database performance (optimization and tuning) for traditional databases and IaaS and PaaS databases.

For comprehensive performance across your network, SolarWinds Network Performance Monitor (NPM) is a robust tool including noteworthy features for discrete monitoring tasks.

First, NPM provides excellent baselining tools and general network health measures, so you can determine what your “normal” is and be alerted to any network performance changes or network event log occurrences moving away from this baseline.

If you’re dealing with a slow network or troubleshooting an issue, NPM can use deep packet inspection software to determine possible causes. NPM also includes LAN monitoring and mapping of routers, switches, servers, and SNMP-enabled devices. This means you’re able to quickly check on the core availability of your services and device health.

NPM allows you to visualize the entire network path using NetPath, which tracks network traffic from source to destination, even if the source or destination is outside your own network. This can help with troubleshooting and network optimization, as you can see which parts of your network are struggling and which could use additional optimization. You can use the NetPath tool regardless of whether your entire network is on-premises, in the cloud, or a hybrid you can also use it with software-as-a-service applications.

Finally, NPM provides general network discovery and mapping tools, through which you can gain an overview of your entire network topology, functionality, and setup. This helps to ensure you have a clear understanding of how everything links in with your application availability, database access, and connections to the cloud.

NPM can be downloaded as a 30-day free trial.

Stackify Retrace is another useful tool to consider for performance monitoring. It provides cloud-based monitoring to support Azure services, including applications, storages, databases, and more. You can use Retrace to monitor and troubleshoot problems with applications, no matter where they’re deployed.

It provides basic performance metrics, partial support for event tracing, and support for slow and overused SQL queries. In addition, it provides monitoring for Azure service bus queues, so you can see whether messages are stacking up, indicating slow application performance.

Finally, it tracks user satisfaction with application performance using Apdex scoring. This can prove helpful with end-to-end performance monitoring.

Installation is simple. You can try out Stackify Retrace free for 14 days.


Should I still have a physical DC, even post-Server 2012?

Back in the pre-Windows Server 2012 days, the recommendation seemed to be to have at least one physical domain controller sat along-side your virtualised DCs.

One justification for this was because if your Hyper-V hosts were clustered, then they required a DC to be contactable during boot-up. This makes total sense to me.

However, I would often hear people say it is still important to have a physical DC even if you don't have a clustered set up (say for example in a simple setup with a single Hyper-V server running a couple of VMs, one of which is a DC). The justification for this seemed (and I could never quite be sure) that you would still have a problem in the sense that when the Hyper-V host first boots, there's no DC present on the network. Cached credentials mean you can still log on, but what about all those bits that happen during boot up that mean having a DC around is beneficial? Is this actually an issue? Are there actually any operations that might run at boot up that will cause a problem? Any Group Policies for example? What I'm basically asking is, does the physical DC argument only really hold water when clustering is involved, or was (pre-2012) there a significant technical case for it without clustering? This article from Altaro (see "The “Chicken-and-Egg” Myth" section) suggests there is no need, but I'm still unsure.

Now to the second (and main) part of my question:

Windows Server 2012 introduced several features targeted at addressing the issues around virtualising domain controllers, including:

  1. VM-Generation ID - This addressed the USN rollback issue that meant snapshotting (or more specifically, rolling back to a snapshot) was unsupported/a really bad idea
  2. Cluster Bootstrapping - This addressed the "chicken and egg" issue surrounding Failover Clustering that I mentioned above. Failover Clustering no longer requires a DC to be present during boot-up.

So my second question is similar to the first, but this time for 2012+. Assuming both the vDC and the host are 2012+ and you take clustering out of the equation, are there any other issues like those mentioned above that mean I should still consider a physical DC? Should I still be considering having a physical DC along-side my single, non-clustered 2012/2012R2 Hyper-V host that has a single virtualised DC on it? I hear some people suggest putting AD on the Hyper-V host, but I don't like that idea for various reasons (WB cache being disabled for a start).

As a side-note, my question implicitly assumes that it makes sense to have your Hyper-V host joined to the domain to improve manageability. Does this assertion stand up to scrutiny?

After reading some answers, it occurred to me that I could phrase things slightly differently to get to the heart of what I'm asking:

Even with the improvements in 2012 and later, the fact still remains that without any physical DCs or virtual DCs on another host, the host still boots when there's no DC available. Is this actually an issue? In a sense, I suppose it's the same (or very similar) question if you take virtualisation out of the picture completely. If you start member servers before any DCs regularly, is that a problem?


The following steps will find e-mail that Gmail marks as spam and prevent it from going to the Spam "folder". This will then allow your your desktop client to download the e-mail and perform the spam filtering. This type of arrangement is often necessary if spammers send out e-mail using keywords that are legitimate for certain industries such as e-commerce, finance, pharmaceuticals, sex, or gambling.

Anyway, the Gmail steps are:

  • In the Has the words field, enter is:spam
  • Clique Create filter with this search

  • Check on Never Send it to Spam
  • Clique em Create Filter

I found this in the Google help pages, and I think if you follow the instructions you will be able to do it:


6 Respostas 6

You will still need local and Active Directory administrator account for this to work, but here's the exact steps I took to fix this issue.

  1. Login with local administrator account
  2. Go to System Preferences > Users & Groups
  3. Press Login Options > Unlock > Press Edit near Network Account Server > Open Directory Utility > Unlock > Select Active Directory and press "Edit settings for the selected service" button at the bottom > Unbind > Enter Active Directory administrator credentials and finish the unbinding process
  4. Close Directory Utility and reboot the computer
  5. Repeat steps 1 and 2
  6. Press Join near Network Account Server
  7. Enter your domain (ad.example.com) and Active Directory administrator credentials.

Assuming your AD account is not entirely network account (created on your local system and you can use it without network access) you should also set settings in 8-10 steps.

  1. Optional Step - Go to System Preferences > Users & Groups
  2. Optional Step - Login Options > Unlock > Press Edit on Network Account Server > Open Directory Utility > Unlock > Select Active Directory and press "Edit settings for the selected service" button at the bottom
  3. Optional Step - Press Show more > Check "Create mobile login at login" > Uncheck "Require confirmation before creating a mobile account"
  4. Log out (may need another reboot)
  5. Login with network account by selecting the user from the list or using your name on password (depends on "Display login windows as" setting)

Today I met a strange problem. After I enter my password, the progress bar runs to the end, and it is stuck there forever. No matter how many times I try to restart.

I finally need to go to Recovery mode by pressing Cmd+R at start up. I then select Get Help Online to open Safari. Strangely enough I wasn't connected to Internet

After select the wifi icon on the status bar to connect internet, I then restart and can login again. It seems that macOS is checking for something before allowing user to login

It appears that the main issue is in the empty local cache of network accounts after upgrade to High Sierra. I was able to login to network account without re-binding to network directory using the following steps (simplified comparing to @ernestasen's answer):

  1. Login with local administrator account
  2. Go to System Preferences > Users & Groups , Click the lock to make changes, Press Login Options , Click on Options button next to Allow network users to log in at login window
  3. Select Only these network users: , Press the plus sign
  4. Wait until network accounts are populated in the Network Users section (in my case I had to wait about 20 seconds while the accounts were showing up on the screen)

That's it, now you've got a local cache of network users refreshed, so you can press Cancel and restore desired option that was changed on 3rd step.

I love the answer by earnestasen and wish I had thought of that. I did yet a third thing to solve this. I logged in as a local admin, created a new local account, logged in to that account, connected to AD subnet (since I’m remote) via the VPN (which took some doing to get my VPN profile in this temp’ user account), then once connected, I did fast user switching to my domain account, and it worked. I rebooted to test it and was able to log straight in again afterward. I was momnetarily panicked that I’d orphaned my account, or would need to fly to SFO to be on the LAN for all of 3 minutes to solve this, but in the end was able to solve this with only a couple hours of downtime. I then removed the temp’ user and am whole again. Cheers.

The solution is simple, IF you have another user account set up. I had, for my girl friend.

  • Login with the other account
  • Go to apple> utilities> terminal
  • Enter resetpassword
  • Follow the instructions on the screen.

You may have to reenter some app passwords to store in your keychain again

The solution which worked for me.

System Preferences
Users & Groups
Click the padlock and enter the admin password
Login Options
Edit the Network Account Server to open the Directory Utility
Click the padlock and enter the admin password (again. )
Select Active Directory and click the pencil to edit
Enter the admin password (again. )
Click the drop-down arrow by "Show options"
Select the Administrative 'tab'
Ensure the "Prefer this domain server:" and "Allow administration by:" options are ticked. Add the relevant user into the list for admin rights.

Not sure why the OS upgrade from Sierra to Mojave would have de-selected these options but there you go.