Les sites Web et les applications Web dépendent de la disponibilité des pools d'applications IIS (Internet Information Services). Les pools d'applications IIS dépendent à leur tour du service d'activation des processus Windows (WAS). Si WAS n'est pas en cours d'exécution ou que des erreurs se produisent lors du démarrage ou de l'arrêt d'un pool d'applications, les sites Web et les applications Web sont susceptibles de ne pas être disponibles.
Contrôler un processus de travail non approuvé
Un processus de travail a envoyé des données inattendues au service d'activation des processus Windows (WAS). Il se peut que le code utilisateur tente d'initier une activité malveillante dans le processus de travail et qu'il ait pris le contrôle du canal de communication. Par exemple, le code utilisateur peut envoyer un deuxième ID de processus à WAS pour le processus de travail ou peut envoyer des numéros de compteur de performance qui n'ont pas le format appropriée. Il peut s'agir d'une tentative de création de dépassement de mémoire tampon dans WAS.
Pour résoudre ce problème, examinez le processus de travail pour voir s'il contient un code utilisateur suspect. Contrôlez les modules chargés. Si ISAPI ou des modules tiers sont en cours d'exécution, contactez le fournisseur des modules pour plus d'informations.
Target | Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool |
Category | Alert |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider | Default |
Filter | ConditionDetection | Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter | Default |
WA | WriteAction | Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription | Default |
<Rule ID="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="onEssentialMonitoring" Target="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>Alert</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider">
<LogName>System</LogName>
</DataSource>
</DataSources>
<ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter">
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>5127</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-WAS</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</ConditionDetection>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>
</WriteAction>
</WriteActions>
</Rule>