SBS 2008 上的 IIS 7 - 日誌記錄變得混亂
C:
我們 SBS 2008 伺服器上的驅動器空間不足。罪魁禍首似乎是 IIS,它在一個特定的日誌文件夾中記錄了大量的活動。大部分IIS日誌文件夾看起來都正常,但每天的文件C:\inetpub\logs\LogFiles\W3SVC1372222313
至少有4.4MB,昨天最大的是1.67GB!最大的我什至無法在伺服器上打開,但我已經檢查了幾個較小的。它們都顯示每隔幾分鐘就會創建幾十個條目,如下所示:
2009-07-11 00:00:02 fe80::5558:434c:a610:405a%10 POST /ApiRemoting30/WebService.asmx - 8530 *[DOMAINNAME]*\*[SERVERNAME$]* fe80::5558:434c:a610:405a%10 Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.4016) 200 0 0 3
通常,40 或 50 個此類條目將在同一秒內完成,每批條目之間的間隔為 2-5 分鐘。文件中其他 1% 的條目似乎涉及 WSUS。
我將刪除這些文件中的大部分,因為我真的別無選擇,但我想知道是什麼導致了這種失控的日誌記錄,以及將來如何控制它。
**更新:**好的,我已經能夠檢查更多文件。當某人(即我或其他管理員)以互動方式登錄到 WSUS 時,出現問題顯然是導致膨脹:
- 麻煩始於沒有使用者名的單個日誌條目(只是“
-
”)。它得到一個 HTTP 狀態401.2
和sc-win32-status
一個5
.- 接下來是一長串在無使用者名和我自己的使用者名之間交替出現的條目。沒有使用者名的 HTTP 狀態為
401.1
和sc-win32-status
。2148074254
我的使用者名是普通的 HTTP200
條目。據我所知,似乎正在發生的事情是,當我通過 SBS 控制台登錄管理 WSUS 時,NTLM 身份驗證不會在幕後持續存在,導致整個會話期間不斷進行重新身份驗證嘗試,對我來說是透明的。每秒都會創建數百個這樣的條目,每小時向日誌文件增加大約 70MB。我不知道為什麼會這樣。
這就是您在那裡看到的對 WSUS 的基於 IPv6 的訪問。
暫時禁用日誌記錄,以免再次填充驅動器:
- 跳轉到 IIS 管理器
- 找到 WSUS 網站(它將是偵聽埠 8530 的網站)
- 調出站點根目錄的日誌記錄屬性
- 在“操作”窗格中點擊“禁用”。
這將阻止日誌的建立。
我不能說我以前見過與 WSUS 相關的流量建立如此大的日誌。一天 4.4MB 並非聞所未聞,但一天 1.67GB 就意味著出了問題。
昨天的日誌文件會告訴你很多關於發生的事情。我很難相信這都是 WSUS 流量。我想知道是否有其他東西沒有開始在伺服器電腦上敲打。從機器上獲取更大的日誌文件並查看它。
您的日誌看起來像是 W3C 擴展格式。該日誌文件的格式似乎是:
日期,時間,源 IP 地址,HTTP 請求方法,URI 詞幹,可能是 URI 查詢,伺服器埠,使用者名,伺服器 IP 地址,使用者代理,HTTP 結果,可能是 Win32 狀態,可能花費的時間
(“可能”欄位是因為我無法確定沒有看到更多文件。)文件上的標題會肯定地告訴你格式。
你需要看看那個 1.67GB 的文件——它會告訴你發生了什麼。在站點上禁用日誌記錄將防止硬碟驅動器再次裝滿,但您想知道幕後發生了什麼,因為它會以某種方式影響伺服器性能。最終,您希望找到原因的根源,然後再次啟用日誌記錄(這樣,如果您將來必須再次追踪異常情況,您就有了審計線索)。