Home
  •  

Рабочий процесс, обслуживающий пул приложений, больше не является доверенным для службы WAS

Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS (Rule)

Knowledge Base article:

Краткое описание

Веб-сайты и веб-приложения зависят от доступности пулов приложений служб (IIS). Пулы приложений IIS в свою очередь зависят от службы активации Windows. При отключении или возникновении ошибок WAS во время запуска или остановки пула приложений веб-сайты и веб-приложения могут быть недоступны.

Решения

Проверка ненадежного рабочего процесса

Рабочий процесс выполнил непредусмотренную отправку данных службе активации Windows (WAS). Возможно код пользователя пытается выполнять вредоносную деятельность в рабочем процессе и, возможно, он перехватил канал коммуникаций. Например, код пользователя может отправлять ИД второго процесса службе WAS для рабочего процесса или отправлять счетчику производительности числа в неправильном формате. Это может быть попыткой создания переполнения буфера службы WAS.

Для устранения этой проблемы проверьте рабочий процесс на предмет наличия подозрительного кода пользователя. Проверьте загруженные модули. Если запущены ISAPI или модули сторонних производителей, для получения дополнительной информации свяжитесь с поставщиком модулей.

Element properties:

TargetMicrosoft.Windows.InternetInformationServices.6.2.ApplicationPool
CategoryAlert
EnabledTrue
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider Default
Filter ConditionDetection Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter Default
WA WriteAction Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription Default

Source Code:

<Rule ID="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Alert</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.6.2.WarningAndErrorEventProvider">

      <LogName>System</LogName>

    </DataSource>

  </DataSources>

  <ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.6.2.ApplicationPool.EventFilter">

    <Expression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery>EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value>5127</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Microsoft-Windows-WAS</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </Expression>

  </ConditionDetection>

  <WriteActions>

    <WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.6.2.GenerateAlertAction.SuppressedByDescription">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.6.2.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>

    </WriteAction>

  </WriteActions>

</Rule>