Home
  •  

WAS ya no considera fiable el proceso de trabajo para el grupo de aplicaciones

Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS (Rule)

Knowledge Base article:

Resumen

Los sitios y las aplicaciones web dependen de la disponibilidad de los grupos de aplicaciones de Internet Information Services (IIS). Los grupos de aplicaciones de IIS dependen a su vez del servicio de activación de procesos de Windows (WAS). Si WAS no se está ejecutando o se producen errores durante el inicio o el apagado de un grupo de aplicaciones, puede que los sitios y las aplicaciones web no estén disponibles.

Soluciones

Comprobar un proceso de trabajo que no es de confianza

Un proceso de trabajo ha enviado algunos datos al Servicio de activación de procesos de Windows (WAS) que no eran esperados. Puede que un código de usuario esté intentando realizar actividades malintencionadas en el proceso de trabajo y que haya asumido la canalización de la comunicación. Por ejemplo, puede que el código de usuario esté enviando un segundo Id. de proceso a WAS para el proceso de trabajo o puede estar enviando números del contador de rendimiento de la forma incorrecta. Puede que esto sea un intento de crear una saturación del búfer en WAS.

Para solucionar este problema, examine el proceso de trabajo para ver si contiene código de usuario sospechoso. Compruebe los módulos cargados. Si ISAPI o los módulos de un distribuidor externo se están ejecutando, póngase en contacto con el distribuidor de los módulos para obtener más información.

Element properties:

TargetMicrosoft.Windows.InternetInformationServices.10.0.ApplicationPool
CategoryAlert
EnabledTrue
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.Server.IIS.10.0.WarningAndErrorEventProvider Default
Filter ConditionDetection Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool.EventFilter Default
WA WriteAction Microsoft.Windows.Server.IIS.10.0.GenerateAlertAction.SuppressedByDescription Default

Source Code:

<Rule ID="Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Alert</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.10.0.WarningAndErrorEventProvider">

      <LogName>System</LogName>

    </DataSource>

  </DataSources>

  <ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool.EventFilter">

    <Expression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery>EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value>5127</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Microsoft-Windows-WAS</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </Expression>

  </ConditionDetection>

  <WriteActions>

    <WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.10.0.GenerateAlertAction.SuppressedByDescription">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>

    </WriteAction>

  </WriteActions>

</Rule>