私の Web サーバー (2008 Xen VM) の空き領域が、通常の使用で予想していたよりも徐々に減っていることに気づいたので、調査することにしました。
問題領域は 2 つあります。
*C:\Users\Administrator\ (6,755.0 MB)*
with files:
NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf
そして
C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)
with files
UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf
私の理解では、これらはレジストリ変更のインタイム バックアップです。そうだとすると、なぜ 10,000 を超える変更があるのか理解できません。(これはフォルダーの場所ごとに存在するファイルの数であり、合計でフォルダーごとに 20,000 を超えます。)
これらのファイルは 15 GB 近くのスペースを使用しているので、削除したいのですが、削除できるかどうか知りたいです。ただし、今後このような事態を避けるために、これらのファイルが作成される理由を理解する必要があります。
なぜこんなにたくさんあるのか、何か考えはありますか? 変更が何によって行われているかを確認する方法はありますか?
- ログイン試行によって作成されますか?
- それらは日常的な Web サーバーの使用に関連して作成されていますか?
- などなど
答え1
これらはレジストリの変更のバックアップではなく、実際にはレジストリの変更がレジストリに変更される前の状態です。.tmpつまり、レジストリの変更用のファイルの一種です。
レジストリの破損は、Windows では非常に一般的で、非常に厄介な問題でしたが、それに対する保護策として、レジストリの変更が要求されたときに、新しいバージョンの Windows では、何かを行う前に、要求された変更をファイルに書き込みます。(ユーザー ハイブの変更の場合、これらのファイルは の形式でありNTUSER.DAT{GUID}.TMContainer####################.regtrans-ms、連番が付けられています。十分にさかのぼると、00000000000000000001ファイルが表示されます。) Windows は、レジストリへの変更の書き込みが「安全」であると判断すると、変更を書き込みます。その後、変更が行われたかどうかを確認し、その時点でファイルを削除して、他の OS タスクに移ります。このプロセスで何かが失敗すると、これらのファイルが蓄積されてしまいます。
そして、明らかに、あなたの場合、そのプロセスのどこかで何かが正しく機能していません。サーバーを調べれば、レジストリがEvent Logsロックされている、またはレジストリに変更を書き込めないというイベントの形で、これに関する大量のエラーが表示されるはずです。(おそらく、またはのようなものです。Unable to open registry for writing)Failed to update system registryこれらは、深刻な問題の兆候である可能性があります。または、一部の PITA プログラムが起動されるたびにレジストリに変更を書き込もうとしているが、権限がないことを示す兆候である可能性があります。
また、ファイルのロック ハンドルが適切に終了していない場合や、書き込み権限はあるがフォルダーの場所への削除権限がない場合など、変更は書き込まれているがファイルを削除できないという可能性もSYSTEM低くなります。
これらのファイルに対して簡単な md5 サム (または同様のもの) を実行して、ファイルがすべて同一であるか、ほとんど同一であるか (同じ変更がレジストリへの書き込みに何度も失敗していることを示します)、または、多くのバリエーションがあるかどうか (これは、多くのプロセスがレジストリに書き込むことができない、または問題のユーザー プロファイルが破損しているなど、深刻な問題を示している可能性が高い) を確認すると、ソースを追跡するのに役立つ場合があります。
分析が終わったら、これらのファイル.blfや.regtrans-ms前回のシステム起動前に作成されたファイルは安全に削除できます。レジストリに書き込まれることはなく、また書き込まれるべきでもありませんので、これらはジャンクです。
正確には何が原因なのかについては、ほとんど何でも考えられるため、自分で突き止めなければなりません。Web コード内の何かが、サイトがアクセスされるたびにレジストリの変更を書き込もうとしているが、権限がないため失敗している可能性があります (もっと馬鹿げた例も見たことがあります)。また、ユーザーのログオンとそれに続くアクティビティによってレジストリへの書き込みが試みられ、権限がないため生成された可能性もあります。さらに、前述のように、正常に作成および実行されているものの、何らかの理由で意図したとおりに削除できない可能性もあります。
すべてのログ、特にEvent LogsIIS ログでレジストリ関連のエラーを確認し、問題を絞り込んで原因を突き止めます。
答え2
これらのファイルは、プロファイルが再作成または初期化されたときに作成されます。これらは、常駐しているという意味で「署名」されているため、侵入者やハッカーの標的となり、トラブルの原因にもなります。
指示に従って、RT-CLK マイ コンピュータ、プロパティで「システムの詳細設定」を選択し、ユーザー プロファイルの下の「設定」を選択します。すべてのプロファイルのリスト、つまり各ユーザーごとに 1 つずつのリストが表示されます。
速度低下は常に検査員を招き、時には重要なことを見落としてしまうことがあります。このマシンの 1 台には、「DefaultProfile」という名前のプロファイルがありましたが、もちろんこれは偽物なので削除されました。別のマシンには、「Default Profile」という名前のプロファイルがありましたが、これも偽物です。ただし、後者は簡単には削除できません。
これは、誰かがハッキングしてクレッシェンドに近づいていることを示しています。3 台目のマシンでは、約 231 GB (!!!) のユーザー プロファイルが作成され、起動が待ち時間で止まらなくなっています。結局、寛容なユーザーは、これまでずっとやっていたことが行われていないことにイライラし始めました。
管理者を含む、そのマシン上のすべてのユーザー アカウントが、HOME USER および/または GUEST に変更されました。そこから管理者特権のコマンド プロンプトを取得してみてください。
したがって、ユーザー プロファイルを削除して再度ログインすると、DefaultProfile を使用して新しいプロファイルが作成されます。Win10 では、このことは、長年 Windows Whatever よりも優れているように見える「Hi」というナンセンスによって明らかです。ログオンして C:\Users\ (whatever)\Appdata\Local (隠しファイル) を調べると、問題のある REGTRANS-MS ファイルが番号付きで長さがゼロで表示されます。
これらには変更が満載されており、使用中のファイルの設定にアクションが実行されることがよくありますが、これはやはりやってはいけないことです。セッションが完了すると、変更が呼び出され、ファイル内のデータは、広告や追跡、そして今では Microsoft の「天才」だけが知っているさまざまなことのためのログの作成材料になります。
乾杯。