Os Web sites e as aplicações Web dependem da disponibilidade dos conjuntos aplicacionais dos Serviços de Informação Internet (IIS). Por sua vez, os conjuntos aplicacionais dos IIS dependem do Serviço de Ativação de Processos do Windows (WAS). Se o WAS não estiver em execução ou ocorrerem erros durante o arranque ou encerramento de um conjunto aplicacional, os Web sites e as aplicações Web podem não estar disponíveis.
Verificar um processo de trabalho não fidedigno
Um processo de trabalho enviou alguns dados inesperados para o Serviço de Ativação de Processos do Windows (WAS). O código de utilizador pode estar a tentar proceder a atividades maliciosas no processo de trabalho e pode ter assumido o controlo do pipe de comunicação. Por exemplo, o código de utilizador pode estar a enviar um segundo ID de processo para o WAS relativamente ao processo de trabalho, ou a enviar números do contador de desempenho que não estejam no formato correto. Pode ser uma tentativa de criar um transbordo de memória intermédia no WAS.
Para resolver este problema, verifique se o processo de trabalho contém um código de utilizador suspeito. Verifique os módulos carregados. Se estiverem em execução módulos ISAPI ou de terceiros, contacte o fornecedor dos módulos para obter mais informações.
Target | Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool |
Category | Alert |
Enabled | True |
Alert Generate | False |
Remotable | True |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider | Default |
Filter | ConditionDetection | Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter | Default |
WA | WriteAction | Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription | Default |
<Rule ID="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>Alert</Category>
<DataSources>
<DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider">
<LogName>System</LogName>
</DataSource>
</DataSources>
<ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter">
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery>EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value>5127</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-WAS</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</ConditionDetection>
<WriteActions>
<WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription">
<Priority>1</Priority>
<Severity>1</Severity>
<AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>
</WriteAction>
</WriteActions>
</Rule>