Witryny i aplikacje sieci Web są zależne od dostępności pul aplikacji internetowych usług informacyjnych (IIS). Z kolei pule aplikacji IIS są zależne od usługi aktywacji procesów systemu Windows (WAS). Jeśli usługa WAS nie jest uruchomiona lub też wystąpił błąd podczas uruchamiania lub zamykania puli aplikacji, witryny i aplikacje sieci Web mogą być niedostępne.
Sprawdzanie niezaufanego procesu roboczego
Proces roboczy wysłał do usługi aktywacji procesów systemu Windows (WAS) pewną ilość nieoczekiwanych danych. Kod użytkownika może próbować udziału w złośliwej aktywności w procesie roboczym i mógł przejąć potok komunikacyjny. Na przykład kod użytkownika może wysyłać do usługi WAS identyfikator drugiego procesu dla procesu roboczego lub wysyłać numery licznika wydajności w nieprawidłowej formie. Może to stanowić próbę spowodowania przepełnienia buforu w usłudze WAS.
Aby rozwiązać ten problem, zbadaj proces roboczy, aby zobaczyć, czy zawiera podejrzany kod użytkownika. Sprawdź załadowane moduły. Jeżeli są uruchomione moduły interfejsu ISAPI lub moduły firmy trzeciej, skontaktuj się z ich dostawcą, aby uzyskać więcej informacji.
Target | Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool |
Category | Alert |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider | Default |
Filter | ConditionDetection | Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter | Default |
WA | WriteAction | Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription | Default |
<Rule ID="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="onEssentialMonitoring" Target="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>Alert</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider">
<LogName>System</LogName>
</DataSource>
</DataSources>
<ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter">
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>5127</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-WAS</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</ConditionDetection>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>
</WriteAction>
</WriteActions>
</Rule>