Home
  •  

アプリケーション プールにサービスしているワーカー プロセスは、WAS に信頼されていません

Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS (Rule)

Knowledge Base article:

概要

Web サイトおよび Web アプリケーションは、インターネット インフォメーション サービス (IIS) アプリケーション プールの可用性に依存しています。IIS アプリケーション プールもまた、Windows プロセス アクティブ化サービス (WAS) に依存しています。アプリケーション プールの開始または停止中に WAS が実行されていなかったりエラーが発生したりすると、Web サイトおよび Web アプリケーションが利用できない場合があります。

解決方法

信頼できないワーカー プロセスをチェックする

ワーカー プロセスは、予期しない Windows プロセス アクティブ化サービス (WAS) にデータを送信しました。ユーザー コードがワーカー プロセス内の悪意のあるアクティビティを処理しようとし、通信パイプを継承した可能性があります。たとえば、ユーザーコードがワーカー プロセスの WAS に対して別のプロセス ID を送信していたり、正しい形式でないパフォーマンス カウンター番号を送信しています。これは、WAS 内でバッファーのオーバーランが発生させようとしている可能性があります。

この問題を解決するには、ワーカー プロセスに疑いのあるユーザーコードが含まれていないかを確認します。 読み込まれたモジュールをチェックします。ISAPI またはサード パーティのモジュールを実行している場合は、詳細についてモジュールのベンダーに問い合わせください。

Element properties:

TargetMicrosoft.Windows.InternetInformationServices.10.0.ApplicationPool
CategoryAlert
EnabledTrue
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.Server.IIS.10.0.WarningAndErrorEventProvider Default
Filter ConditionDetection Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool.EventFilter Default
WA WriteAction Microsoft.Windows.Server.IIS.10.0.GenerateAlertAction.SuppressedByDescription Default

Source Code:

<Rule ID="Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Alert</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.10.0.WarningAndErrorEventProvider">

      <LogName>System</LogName>

    </DataSource>

  </DataSources>

  <ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool.EventFilter">

    <Expression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery>EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value>5127</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Microsoft-Windows-WAS</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </Expression>

  </ConditionDetection>

  <WriteActions>

    <WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.10.0.GenerateAlertAction.SuppressedByDescription">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>

    </WriteAction>

  </WriteActions>

</Rule>