Los sitios y las aplicaciones web dependen de la disponibilidad de los grupos de aplicaciones de Internet Information Services (IIS). Los grupos de aplicaciones de IIS dependen a su vez del servicio de activación de procesos de Windows (WAS). Si WAS no se está ejecutando o se producen errores durante el inicio o el apagado de un grupo de aplicaciones, puede que los sitios y las aplicaciones web no estén disponibles.
Comprobar un proceso de trabajo que no es de confianza
Un proceso de trabajo ha enviado algunos datos al Servicio de activación de procesos de Windows (WAS) que no eran esperados. Puede que un código de usuario esté intentando realizar actividades malintencionadas en el proceso de trabajo y que haya asumido la canalización de la comunicación. Por ejemplo, puede que el código de usuario esté enviando un segundo Id. de proceso a WAS para el proceso de trabajo o puede estar enviando números del contador de rendimiento de la forma incorrecta. Puede que esto sea un intento de crear una saturación del búfer en WAS.
Para solucionar este problema, examine el proceso de trabajo para ver si contiene código de usuario sospechoso. Compruebe los módulos cargados. Si ISAPI o los módulos de un distribuidor externo se están ejecutando, póngase en contacto con el distribuidor de los módulos para obtener más información.
Target | Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool |
Category | Alert |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.Server.IIS.10.0.WarningAndErrorEventProvider | Default |
Filter | ConditionDetection | Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool.EventFilter | Default |
WA | WriteAction | Microsoft.Windows.Server.IIS.10.0.GenerateAlertAction.SuppressedByDescription | Default |
<Rule ID="Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>Alert</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.10.0.WarningAndErrorEventProvider">
<LogName>System</LogName>
</DataSource>
</DataSources>
<ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool.EventFilter">
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>5127</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-WAS</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</ConditionDetection>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.10.0.GenerateAlertAction.SuppressedByDescription">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>
</WriteAction>
</WriteActions>
</Rule>