Home
  •  

Pracovní proces obsluhující fond aplikací již není pro službu WAS důvěryhodný.

Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS (Rule)

Knowledge Base article:

Souhrn

Weby a webové aplikace závisí na dostupnosti fondů aplikací Internetové informační služby (IIS). Fondy aplikací služby IIS naopak závisí na Aktivační službě procesů systému Windows (WAS). Pokud se služba WAS nespustila nebo během spouštění nebo vypínání fondu aplikací nastaly chyby, nemusí být weby a webové aplikace dostupné.

Řešení

Kontrola nedůvěryhodného pracovního procesu

Pracovní proces odeslal službě WAS data, která nebyla očekávána. Kód uživatele se může pokoušet zapojit do škodlivé činnosti v pracovním procesu a převzít komunikační kanál. Kód uživatele například může odeslat službě WAS druhé ID pracovního procesu nebo odesílat čísla čítačů výkonu, která nemají správnou podobu. Může se jednat o pokus o vytvoření přetečení vyrovnávací paměti ve službě WAS.

Tento problém lze vyřešit prověřením pracovního procesu s cílem zjistit, zda obsahuje podezřelý kód uživatele. Zkontrolujte zavedené moduly. Pokud jsou spuštěné moduly ISAPI nebo moduly jiných výrobců, požádejte o více informací dodavatele modulů.

Element properties:

TargetMicrosoft.Windows.InternetInformationServices.6.2.ApplicationPool
CategoryAlert
EnabledTrue
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider Default
Filter ConditionDetection Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter Default
WA WriteAction Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription Default

Source Code:

<Rule ID="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="onEssentialMonitoring" Target="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Alert</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider">

      <LogName>System</LogName>

    </DataSource>

  </DataSources>

  <ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter">

    <Expression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery>EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value>5127</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Microsoft-Windows-WAS</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </Expression>

  </ConditionDetection>

  <WriteActions>

    <WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>

    </WriteAction>

  </WriteActions>

</Rule>