IIS 7 no SBS 2008 - o log está ficando descontrolado

Navegue suas respostas
3

A unidade C: em nosso servidor SBS 2008 ficou sem espaço. O culpado parece ser o IIS, que registra uma quantidade incrível de atividade em uma pasta de log específica. A maioria das pastas de log do IIS parece normal, mas cada um dos arquivos diários em C:\inetpub\logs\LogFiles\W3SVC1372222313 é de pelo menos 4.4MB, sendo o maior o de ontem, com 1.67 GB!

Os maiores que nem consigo abrir no servidor, mas examinei vários dos menores. Todos eles mostram várias dezenas de entradas sendo feitas a cada poucos minutos que se parecem com isso:

2009-07-11 00:00:02 fe80::5558:434c:a610:405a%10 POST /ApiRemoting30/WebService.asmx - 8530 [DOMAINNAME]\[SERVERNAME$] fe80::5558:434c:a610:405a%10 Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.4016) 200 0 0 3

Normalmente, 40 ou 50 dessas entradas serão feitas no mesmo segundo, com intervalos de 2-5 minutos entre cada lote de entradas. Os outros 1% das entradas no arquivo parecem envolver o WSUS.

Vou excluir a maioria desses arquivos, porque realmente não tenho escolha, mas gostaria de saber o que está causando esse registro fora de controle e como colocar uma tampa nele futuro.

UPDATE: Ok, consegui examinar mais alguns arquivos. O inchaço aparentemente está sendo causado por algo errado quando alguém (ou seja, eu ou outro administrador) faz login no WSUS interativamente:

  1. O problema começa com um único log entrada sem nome de usuário (apenas " - "). Obtém um status HTTP de 401.2 e um código sc-win32-status de 5 .

  2. Isso é seguido por um longo trecho de entradas que alternam entre não nome de usuário e meu próprio nome de usuário. o aqueles sem nome de usuário têm um HTTP status de 401.1 e um sc-win32-status de 2148074254 . o aqueles com meu nome de usuário são normais HTTP 200 entradas.

Portanto, até onde posso dizer, o que parece estar acontecendo é que, quando efetuo login para administrar o WSUS por meio do console do SBS, a autenticação NTLM não persiste nos bastidores, causando tentativas de reautenticação contínuas durante a sessão, transparentemente para mim. Centenas dessas entradas estão sendo criadas a cada segundo, adicionando cerca de 70 MB por hora ao arquivo de log. Não tenho ideia do porquê isso está acontecendo.

    
por phenry 16.07.2009 / 21:35

6 respostas

4

Isso é o acesso baseado em IPv6 para o WSUS que você está vendo lá.

Desative temporariamente o log para não encher novamente a unidade:

  • Entre no Gerenciador do IIS
  • Localize o site do WSUS (ele será o que está ouvindo na porta 8530)
  • Atribuir as propriedades de registro para a raiz do site
  • Clique em "Desativar" no painel "Ações".

Isso impedirá a criação dos registros.

Eu não posso dizer que vi tráfego relacionado ao WSUS acumular registros tão grandes antes. 4.4MB em um dia não é inédito, mas o 1.67GB em um dia significa que algo deu errado.

O arquivo de log de ontem vai dizer muito sobre o que estava ocorrendo. Acho difícil acreditar que foi todo o tráfego do WSUS. Gostaria de saber se outra coisa não começou a bater no computador do servidor. Tire esse arquivo de log maior da máquina e dê uma olhada nele.

Seu log parece estar no formato estendido do W3C. O formato desse arquivo de log parece ser:

Data, Hora, endereço IP de origem, método de solicitação HTTP, URI stem, consulta de URI provavelmente, porta do servidor, nome de usuário, endereço IP do servidor, agente do usuário, resultado HTTP, provavelmente o status Win32 e provavelmente tempo

(Os campos "provavelmente" são porque não posso ter certeza sem ver mais arquivos.) O cabeçalho no arquivo mostrará o formato com certeza.

Você precisa dar uma olhada no arquivo de 1.67GB - ele vai dizer o que está acontecendo. O registro em log desativado no site impedirá que o disco rígido seja preenchido novamente, mas você quer saber o que está acontecendo, nos bastidores, já que isso afetará o desempenho do servidor de alguma maneira. Em última análise, você quer chegar ao fundo da causa e, em seguida, obter o log habilitado novamente (para que você tenha uma trilha de auditoria, se você tiver que rastrear a estranheza novamente no futuro).

    
por 16.07.2009 / 21:44
2

Solução:

  1. Desative o log do site de administração do WSUS.
  2. É isso aí.

O console do SBS está se comportando normalmente. Aparentemente, ele é projetado para fazer uma quantidade louca de registro. Vá a figura.

Este é o artigo do Blog do SBS que fornece mais detalhes sobre a solução:

Aqui está o tópico do fórum do SBS 2008 explicando por que essa é a resposta: console do SBS 2008 causando problema de espaço em disco (o log do IIS está ficando sem controle)

Eu te agradeço.

    
por 22.11.2010 / 10:14
1

O WSUS está funcionando bem? Você pode tentar executar a ferramenta de diagnóstico do WSUS.

Utilitários e ferramentas do Microsoft Windows Server Update Services

    
por 16.07.2009 / 21:44
1

Em um lado da equação, você ainda deseja descobrir por que está gerando tanto traffice de log (sem sugestões ...), mas descobri que a pasta de log é um bom candidato para compactação NTFS . Esses arquivos de texto compactam bem e, como você raramente abre os arquivos de log, provavelmente nem perceberá que eles estão compactados.

    
por 16.07.2009 / 23:29
1

Em uma anotação relacionada, convém considerar desativar o log permanentemente para o site do WSUS. Concedido, pode ser útil para solucionar problemas do WSUS, mas você sempre pode ativá-lo conforme necessário.

Tendo dito isso, eu examinaria a causa raiz de todas as entradas de log e abordaria esse problema, o que tornaria minha sentença anterior um ponto discutível. ;)

    
por 23.09.2009 / 03:46
0

Estou enfrentando exatamente o mesmo problema e apenas tropecei nele porque a partição do sistema estava sendo preenchida. Desde o dia em que iniciei o servidor, esse mesmo erro é gravado nos arquivos de log várias vezes por segundo da maneira descrita acima. O pico era um arquivo com cerca de 270mb.

Acho muito estranho que os endereços IP de origem e destino sejam sempre os mesmos. isso leva ao pensamento de que o servidor tem um problema falando sozinho. Eu já encontrei um artigo abordando esta questão, mas não ajudou no meu caso: link

alguém descobriu algo novo nisso?

    
por 30.10.2009 / 00:25

Tags

O que esse log significa? Endereços de e-mail postfix