Web サイトおよび Web アプリケーションは、インターネット インフォメーション サービス (IIS) アプリケーション プールの可用性に依存しています。IIS アプリケーション プールもまた、Windows プロセス アクティブ化サービス (WAS) に依存しています。アプリケーション プールの開始または停止中に WAS が実行されていなかったりエラーが発生したりすると、Web サイトおよび Web アプリケーションが利用できない場合があります。
信頼できないワーカー プロセスをチェックする
ワーカー プロセスは、予期しない Windows プロセス アクティブ化サービス (WAS) にデータを送信しました。ユーザー コードがワーカー プロセス内の悪意のあるアクティビティを処理しようとし、通信パイプを継承した可能性があります。たとえば、ユーザーコードがワーカー プロセスの WAS に対して別のプロセス ID を送信していたり、正しい形式でないパフォーマンス カウンター番号を送信しています。これは、WAS 内でバッファーのオーバーランが発生させようとしている可能性があります。
この問題を解決するには、ワーカー プロセスに疑いのあるユーザーコードが含まれていないかを確認します。 読み込まれたモジュールをチェックします。ISAPI またはサード パーティのモジュールを実行している場合は、詳細についてモジュールのベンダーに問い合わせください。
Target | Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool |
Category | Alert |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider | Default |
Filter | ConditionDetection | Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter | Default |
WA | WriteAction | Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription | Default |
<Rule ID="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>Alert</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider">
<LogName>System</LogName>
</DataSource>
</DataSources>
<ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter">
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>5127</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-WAS</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</ConditionDetection>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>
</WriteAction>
</WriteActions>
</Rule>