Os sites e aplicativos Web dependem da disponibilidade dos pools de aplicativos do IIS (Serviços de Informações da Internet). Os pools de aplicativos do IIS, por sua vez, dependem do WAS (Serviço de Ativação de Processos do Windows). Se o WAS não estiver em execução ou ocorrerem erros durante a inicialização ou o desligamento de um pool de aplicativos, os sites e aplicativos Web podem não estar disponíveis.
Verifique um processo de trabalho não confiável
Um processo de trabalho enviou alguns dados inesperados para o WAS (Serviço de Ativação de Processos do Windows ). O código do usuário pode estar tentando iniciar uma atividade mal intencionada no processo de trabalho e pode estar controlando o canal de comunicação. Por exemplo, o código do usuário pode estar enviando um segundo ID de processo para o WAS pelo processo de trabalho ou pode estar enviando números de contadores de desempenho que não estão no formato certo. Isso pode ser uma tentativa de criar uma saturação de dados do buffer no WAS.
Para solucionar este problema, analise o processo de trabalho para verificar se ele contém um código de usuário suspeito. Verifique os módulos carregados. Se a ISAPI ou módulos de terceiros estiverem sendo executados, entre em contato com o fornecedor dos módulos para obter mais informações.
Target | Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool |
Category | Alert |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider | Default |
Filter | ConditionDetection | Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter | Default |
WA | WriteAction | Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription | Default |
<Rule ID="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>Alert</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider">
<LogName>System</LogName>
</DataSource>
</DataSources>
<ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter">
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>5127</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-WAS</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</ConditionDetection>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>
</WriteAction>
</WriteActions>
</Rule>