Weby a webové aplikace závisí na dostupnosti fondů aplikací Internetové informační služby (IIS). Fondy aplikací služby IIS naopak závisí na Aktivační službě procesů systému Windows (WAS). Pokud se služba WAS nespustila nebo během spouštění nebo vypínání fondu aplikací nastaly chyby, nemusí být weby a webové aplikace dostupné.
Kontrola nedůvěryhodného pracovního procesu
Pracovní proces odeslal službě WAS data, která nebyla očekávána. Kód uživatele se může pokoušet zapojit do škodlivé činnosti v pracovním procesu a převzít komunikační kanál. Kód uživatele například může odeslat službě WAS druhé ID pracovního procesu nebo odesílat čísla čítačů výkonu, která nemají správnou podobu. Může se jednat o pokus o vytvoření přetečení vyrovnávací paměti ve službě WAS.
Tento problém lze vyřešit prověřením pracovního procesu s cílem zjistit, zda obsahuje podezřelý kód uživatele. Zkontrolujte zavedené moduly. Pokud jsou spuštěné moduly ISAPI nebo moduly jiných výrobců, požádejte o více informací dodavatele modulů.
Target | Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool |
Category | Alert |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider | Default |
Filter | ConditionDetection | Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter | Default |
WA | WriteAction | Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription | Default |
<Rule ID="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="onEssentialMonitoring" Target="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>Alert</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider">
<LogName>System</LogName>
</DataSource>
</DataSources>
<ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter">
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>5127</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-WAS</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</ConditionDetection>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>
</WriteAction>
</WriteActions>
</Rule>