Журнал событий приложения продолжает повреждаться

8

Недавно я спросил о восстановлении поврежденного журнала событий , потому что он казался одноразовым. С тех пор журнал событий демонстрировал такое же поведение 3 раза. Мы пытались найти закономерности, но пока ничего не нашли. Сервер запускает несколько приложений ASP.NET и три запланированные задачи, написанные на .NET. Дата последнего изменения в журнале событий однажды совпадала с одной из запланированных задач, но остальные не были.

Любые предложения о том, где искать дальше или как мы можем получить любую информацию из поврежденного файла evtx?

На сервере запущены критически важные приложения электронной коммерции, поэтому мы хотим, чтобы количество перезапусков было минимальным.

Изменить: я запустил DUMPEL и получил очень странные результаты.

1/9/2012    4:14:05 PM  1   100 1000    Application Error       N/A SERVERNAME  Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8  Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58  Exception code: 0xc0000374  Fault offset: 0x000ce653  Faulting process id: 0x1070  Faulting application start time: 0x01cccf1386d30991  Faulting application path: C:\Windows\SysWOW64\inetsrv\w3wp.exe  Faulting module path: C:\Windows\SysWOW64\ntdll.dll  Report Id: dbf4f691-3b06-11e1-9025-005056a602e6  
1/9/2012    4:14:07 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_79d9  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER975.tmp.appcompat.txt  C:\Windows\Temp\WERA03.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WERA13.tmp.hdmp  C:\Windows\Temp\WERD21.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_cd7d09dfc84119d82a2ac6a789038bd5661acfb_cab_128f0e67    Analysis symbol:   Rechecking for solution: 0  Report Id: dbf4f691-3b06-11e1-9025-005056a602e6  Report Status: 4  
1/9/2012    4:14:07 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_79d9  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER975.tmp.appcompat.txt  C:\Windows\Temp\WERA03.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WERA13.tmp.hdmp  C:\Windows\Temp\WERD21.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_cd7d09dfc84119d82a2ac6a789038bd5661acfb_cab_128f0e67    Analysis symbol:   Rechecking for solution: 0  Report Id: dbf4f691-3b06-11e1-9025-005056a602e6  Report Status: 0  
1/9/2012    4:14:12 PM  1   100 1000    Application Error       N/A SERVERNAME  Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8  Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58  Exception code: 0xc0000374  Fault offset: 0x000ce653  Faulting process id: 0x16ac  Faulting application start time: 0x01cccf139f475c0c  Faulting application path: C:\Windows\SysWOW64\inetsrv\w3wp.exe  Faulting module path: C:\Windows\SysWOW64\ntdll.dll  Report Id: e03bae70-3b06-11e1-9025-005056a602e6  
1/9/2012    4:14:16 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER2579.tmp.appcompat.txt  C:\Windows\Temp\WER25F7.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WER25F8.tmp.hdmp  C:\Windows\Temp\WER28F6.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_cab_0b63321b    Analysis symbol:   Rechecking for solution: 0  Report Id: e03bae70-3b06-11e1-9025-005056a602e6  Report Status: 4  
1/9/2012    4:14:16 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER2579.tmp.appcompat.txt  C:\Windows\Temp\WER25F7.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WER25F8.tmp.hdmp  C:\Windows\Temp\WER28F6.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_cab_0b63321b    Analysis symbol:   Rechecking for solution: 0  Report Id: e03bae70-3b06-11e1-9025-005056a602e6  Report Status: 0  
1/9/2012    4:14:21 PM  1   100 1000    Application Error       N/A SERVERNAME  Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8  Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58  Exception code: 0xc0000374  Fault offset: 0x000ce653  Faulting process id: 0x17f8  Faulting application start time: 0x01cccf13a4ba5126  Faulting application path: C:\Windows\SysWOW64\inetsrv\w3wp.exe  Faulting module path: C:\Windows\SysWOW64\ntdll.dll  Report Id: e57a0a85-3b06-11e1-9025-005056a602e6  
1/9/2012    4:14:21 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_1cfb4872    Analysis symbol:   Rechecking for solution: 0  Report Id: e57a0a85-3b06-11e1-9025-005056a602e6  Report Status: 4  
1/9/2012    4:14:21 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_1cfb4872    Analysis symbol:   Rechecking for solution: 0  Report Id: e57a0a85-3b06-11e1-9025-005056a602e6  Report Status: 0

Ни один из упомянутых файлов на самом деле не существует (даже в WER ReportArchive). Это не должно быть единственными упомянутыми событиями. Файл журнала был очищен дважды с 9 января, поэтому эти события вообще не должны быть перечислены.

Обновление (2016-06-14): у
нас больше нет этого сервера, и поэтому мы больше не можем тестировать предложенные решения. Мы никогда не выясняли, в чем дело, но с тех пор мы перенесли все наши сервисы на новые серверы.

windows-server-2008-r2 eventviewer yakatz
источник
Моим первым шагом было бы попытаться повторить это в непроизводственной среде. Можете ли вы настроить другой сервер с теми же приложениями и посмотреть, произойдет ли это снова, или настроить копию виртуальной машины?
Сэм Коган
@ Сэм, я пытаюсь найти необходимые ресурсы для этого.
якатц
Вы нашли решение? Пожалуйста, ответьте на свой вопрос. Спасибо
MacGyver
2
@Leandro, мы не нашли решения, но, похоже, недавно оно перестало происходить само по себе.
якатц
Изменился ли вообще код в пуле приложений с тех пор, как это произошло? Выходные данные dumpel предполагают, что один из ваших пулов приложений был аварийно завершен, и в отчете об ошибках проверялась MS для проверки состояния данного конкретного сбоя. Я предполагаю, что в коде было неперехваченное исключение, которое приводило к сбою пула приложений и которое было исправлено.
Натан V

Ответы:

1

Удивлен это не было упомянуто ранее; Вы проверили файловую систему? Если это локальный диск, и вы можете сократить время простоя, пометьте том для chkdsk и перезагрузите компьютер. Сделайте сканирование поверхности, если это возможно.

Обратите внимание, что это будет очень много времени. Особенно на большом (+ 50gb) томе. Снимайте на выходные, если это вообще возможно.

Signal15
источник
На самом деле это виртуальная машина, поэтому у нас нет доступа к физическому диску.
якатц
4
То, что это ВМ, не имеет значения. Возможно, у вас повреждена файловая система. Запустите chkdsk во время следующего интервала простоя / обслуживания.
Сигнал15
0

Похоже, у вас могут быть проблемы с повреждением файловой системы - хороший способ проверить это без перезагрузки - запустить:

sfc /scannow

И посмотрите, если вы получите множество исправлений или ошибок. Если вы это сделаете, лучшим следующим шагом будет перезагрузка, чтобы запустить chkdsk, чтобы восстановить ваши разделы и исправить любые ошибки в них. После этого, если у вас все еще есть проблемы, вам, возможно, придется поговорить с вашим провайдером о базовом оборудовании.

RTW
источник
Этот виртуальный сервер больше не существует, поэтому я не могу протестировать что-то новое с этим вопросом, но я знаю, что файловая система была в порядке, и мы работали sfcраньше и не получили никаких ошибок.
якатц