Auf dem C:Laufwerk unseres SBS 2008-Servers ist gerade der Speicherplatz ausgegangen. Der Übeltäter scheint IIS zu sein, das eine unglaubliche Menge an Aktivitäten in einem bestimmten Protokollordner protokolliert. Die meisten IIS-Protokollordner sehen normal aus, aber jede der täglichen Dateien darin C:\inetpub\logs\LogFiles\W3SVC1372222313ist mindestens 4,4 MB groß, wobei die größte die von gestern mit 1,67 GB war!
Die größten kann ich auf dem Server nicht einmal öffnen, aber ich habe mir mehrere der kleineren angesehen. Sie alle zeigen mehrere Dutzend Einträge, die alle paar Minuten vorgenommen werden und so aussehen:
2009-07-11 00:00:02 fe80::5558:434c:a610:405a%10 POST /ApiRemoting30/WebService.asmx - 8530 [DOMAINNAME]\[SERVERNAME$] fe80::5558:434c:a610:405a%10 Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.4016) 200 0 0 3
Normalerweise werden 40 oder 50 dieser Einträge in derselben Sekunde vorgenommen, wobei zwischen den einzelnen Einträgen 2 bis 5 Minuten vergehen. Die anderen 1 Prozent der Einträge in der Datei scheinen WSUS zu betreffen.
Ich werde die meisten dieser Dateien löschen, da ich keine andere Wahl habe, möchte aber wissen, was die Ursache für diese außer Kontrolle geratene Protokollierung ist und wie ich sie in Zukunft unterbinden kann.
AKTUALISIEREN:Okay, ich konnte noch ein paar weitere Dateien untersuchen. Die Aufblähung wird anscheinend dadurch verursacht, dass etwas schief geht, wenn sich jemand (also ich oder ein anderer Administrator) interaktiv bei WSUS anmeldet:
Das Problem beginnt mit einem einzigen Protokolleintrag ohne Benutzernamen (nur "
-"). Er erhält den HTTP-Status401.2und densc-win32-statusCode5.Darauf folgt eine lange Reihe von Einträgen, die abwechselnd keinen Benutzernamen und meinen eigenen Benutzernamen enthalten. Die Einträge ohne Benutzernamen haben einen HTTP-Status von
401.1und einensc-win32-statusvon2148074254. Die Einträge mit meinem Benutzernamen sind normale HTTP-200Einträge.
Soweit ich das beurteilen kann, scheint folgendes zu passieren: Wenn ich mich anmelde, um WSUS über die SBS-Konsole zu verwalten, bleibt die NTLM-Authentifizierung im Hintergrund nicht bestehen, was während der gesamten Sitzung zu für mich nicht erkennbaren erneuten Authentifizierungsversuchen führt. Hunderte dieser Einträge werden pro Sekunde erstellt, was die Protokolldatei um etwa 70 MB pro Stunde erweitert. Ich habe keine Ahnung, warum das passiert.
Antwort1
Das ist ein IPv6-basierter Zugriff auf WSUS, den Sie dort sehen.
Deaktivieren Sie die Protokollierung vorübergehend, damit Sie das Laufwerk nicht erneut füllen:
- Springen Sie in den IIS-Manager
- Suchen Sie die WSUS-Website (es ist die Website, die auf Port 8530 lauscht).
- Rufen Sie die Protokollierungseigenschaften für die Stammseite der Site auf.
- Klicken Sie im Bereich „Aktionen“ auf „Deaktivieren“.
Dadurch wird die Ansammlung von Protokollen verhindert.
Ich kann nicht sagen, dass ich schon einmal so große Protokolle durch WSUS-bezogenen Datenverkehr gesehen habe. 4,4 MB an einem Tag sind nichts Ungewöhnliches, aber 1,67 GB an einem Tag bedeuten, dass etwas schiefgelaufen ist.
Die Protokolldatei von gestern wird Ihnen viel darüber erzählen, was passiert ist. Ich kann kaum glauben, dass es sich nur um WSUS-Verkehr handelte. Ich frage mich, ob nicht noch etwas anderes auf dem Servercomputer angefangen hat zu hämmern. Holen Sie sich die größere Protokolldatei von der Maschine und sehen Sie sie sich an.
Ihr Protokoll scheint im erweiterten W3C-Format zu sein. Das Format dieser Protokolldatei scheint zu sein:
Datum, Uhrzeit, Quell-IP-Adresse, HTTP-Anforderungsmethode, URI-Stamm, wahrscheinlich URI-Abfrage, Server-Port, Benutzername, Server-IP-Adresse, Benutzeragent, HTTP-Ergebnis, wahrscheinlich Win32-Status und wahrscheinlich benötigte Zeit
(Die Felder „wahrscheinlich“ sind darauf zurückzuführen, dass ich nicht sicher sein kann, ohne mehr von der Datei zu sehen.) Der Header der Datei verrät Ihnen mit Sicherheit das Format.
Sie müssen sich diese 1,67 GB große Datei ansehen – sie wird Ihnen sagen, was los ist. Wenn Sie die Protokollierung auf der Site deaktivieren, wird die Festplatte nicht wieder voll, aber Sie möchten wissen, was hinter den Kulissen passiert, da dies die Serverleistung in irgendeiner Weise beeinträchtigt. Letztendlich möchten Sie der Ursache auf den Grund gehen und die Protokollierung dann wieder aktivieren (damit Sie eine Prüfspur haben, falls Sie in Zukunft erneut auf Merkwürdigkeiten stoßen müssen).
Antwort2
Lösung:
- Deaktivieren Sie die Protokollierung für die WSUS-Verwaltungssite.
- Das ist es.
Die SBS-Konsole verhält sich normal. Anscheinend ist sie darauf ausgelegt, eine unglaubliche Menge an Protokollen durchzuführen. Das muss man sich mal vorstellen.
Hier ist der SBS-Blog-Artikel, der weitere Einzelheiten zur Lösung enthält:Wiederherstellen von Speicherplatz auf dem Laufwerk C: in Small Business Server 2008
Hier ist der SBS 2008-Forumsthread, in dem erklärt wird, warum dies die Antwort ist:SBS 2008-Konsole verursacht Speicherplatzproblem (IIS-Protokoll spielt verrückt)
Ich danke dir.
Antwort3
Funktioniert WSUS einwandfrei? Sie können versuchen, das WSUS-Diagnosetool auszuführen.
Tools und Dienstprogramme für Microsoft Windows Server Update Services
Antwort4
In einem ähnlichen Zusammenhang sollten Sie die Protokollierung für die WSUS-Site dauerhaft deaktivieren. Dies kann zwar bei der Behebung von WSUS-Problemen hilfreich sein, Sie können es jedoch jederzeit bei Bedarf aktivieren.
Allerdings würde ich die Grundursache aller Protokolleinträge untersuchen und dieses Problem beheben, wodurch mein vorheriger Satz hinfällig würde. ;)