Home
  •  

Le processus de travail servant le pool d'applications n'est plus approuvé par WAS

Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS (Rule)

Knowledge Base article:

Résumé

Les sites Web et les applications Web dépendent de la disponibilité des pools d'applications IIS (Internet Information Services). Les pools d'applications IIS dépendent à leur tour du service d'activation des processus Windows (WAS). Si WAS n'est pas en cours d'exécution ou que des erreurs se produisent lors du démarrage ou de l'arrêt d'un pool d'applications, les sites Web et les applications Web sont susceptibles de ne pas être disponibles.

Résolutions

Contrôler un processus de travail non approuvé

Un processus de travail a envoyé des données inattendues au service d'activation des processus Windows (WAS). Il se peut que le code utilisateur tente d'initier une activité malveillante dans le processus de travail et qu'il ait pris le contrôle du canal de communication. Par exemple, le code utilisateur peut envoyer un deuxième ID de processus à WAS pour le processus de travail ou peut envoyer des numéros de compteur de performance qui n'ont pas le format appropriée. Il peut s'agir d'une tentative de création de dépassement de mémoire tampon dans WAS.

Pour résoudre ce problème, examinez le processus de travail pour voir s'il contient un code utilisateur suspect. Contrôlez les modules chargés. Si ISAPI ou des modules tiers sont en cours d'exécution, contactez le fournisseur des modules pour plus d'informations.

Element properties:

TargetMicrosoft.Windows.InternetInformationServices.10.0.ApplicationPool
CategoryAlert
EnabledTrue
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.Server.IIS.10.0.WarningAndErrorEventProvider Default
Filter ConditionDetection Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool.EventFilter Default
WA WriteAction Microsoft.Windows.Server.IIS.10.0.GenerateAlertAction.SuppressedByDescription Default

Source Code:

<Rule ID="Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Alert</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.10.0.WarningAndErrorEventProvider">

      <LogName>System</LogName>

    </DataSource>

  </DataSources>

  <ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool.EventFilter">

    <Expression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery>EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value>5127</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Microsoft-Windows-WAS</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </Expression>

  </ConditionDetection>

  <WriteActions>

    <WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.10.0.GenerateAlertAction.SuppressedByDescription">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>

    </WriteAction>

  </WriteActions>

</Rule>