La C:unidad de nuestro servidor SBS 2008 acaba de quedarse sin espacio. El culpable parece ser IIS, que registra una cantidad increíble de actividad en una carpeta de registro en particular. La mayoría de las carpetas de registro de IIS parecen normales, pero cada uno de los archivos diarios C:\inetpub\logs\LogFiles\W3SVC1372222313tiene al menos 4,4 MB, siendo el más grande el de ayer, ¡con 1,67 GB!
Los más grandes ni siquiera puedo abrirlos en el servidor, pero he examinado varios de los más pequeños. Todos muestran varias docenas de entradas realizadas cada pocos minutos que se ven así:
2009-07-11 00:00:02 fe80::5558:434c:a610:405a%10 POST /ApiRemoting30/WebService.asmx - 8530 [DOMAINNAME]\[SERVERNAME$] fe80::5558:434c:a610:405a%10 Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.4016) 200 0 0 3
Normalmente, 40 o 50 de estas entradas se realizarán en el mismo segundo, con intervalos de 2 a 5 minutos entre cada lote de entradas. El otro 1 por ciento de las entradas en el archivo parecen involucrar a WSUS.
Voy a eliminar la mayoría de estos archivos porque realmente no tengo otra opción, pero me gustaría saber qué está causando este registro fuera de control y cómo ponerle freno en el futuro.
ACTUALIZAR:Bien, he podido examinar algunos archivos más. Aparentemente, la hinchazón se debe a que algo va mal cuando alguien (es decir, yo u otro administrador) inicia sesión en WSUS de forma interactiva:
El problema comienza con una única entrada de registro sin nombre de usuario (sólo "
-"). Obtiene un estado HTTP de401.2y unsc-win32-statuscódigo de5.A esto le sigue una larga serie de entradas que alternan entre ningún nombre de usuario y mi propio nombre de usuario. Los que no tienen nombre de usuario tienen un estado HTTP de
401.1ysc-win32-statusde2148074254. Los que tienen mi nombre de usuario son200entradas HTTP normales.
Hasta donde puedo decir, lo que parece estar sucediendo es que cuando inicio sesión para administrar WSUS a través de la consola SBS, la autenticación NTLM no persiste detrás de escena, lo que provoca continuos intentos de reautenticación durante toda la sesión, de manera transparente para mí. Cada segundo se crean cientos de estas entradas, lo que agrega aproximadamente 70 MB por hora al archivo de registro. No tengo idea de por qué sucede esto.
Respuesta1
Ese es el acceso basado en IPv6 a WSUS que está viendo allí.
Desactive temporalmente el registro para no volver a llenar la unidad:
- Saltar al Administrador de IIS
- Localice el sitio web de WSUS (será el que escuche en el puerto 8530)
- Abra las propiedades de registro para la raíz del sitio.
- Haga clic en "Desactivar" en el panel "Acciones".
Eso evitará que los troncos se acumulen.
No puedo decir que haya visto tráfico relacionado con WSUS acumular registros tan grandes antes. 4,4 MB en un día no es algo inaudito, pero 1,67 GB en un día significa que algo salió mal.
El archivo de registro de ayer les dirá mucho sobre lo que estaba ocurriendo. Me cuesta creer que todo fuera tráfico de WSUS. Me pregunto si algo más no empezó a sonar en la computadora servidor. Saque ese archivo de registro más grande de la máquina y échele un vistazo.
Su registro parece estar en el formato extendido W3C. El formato de ese archivo de registro parece ser:
Fecha, hora, dirección IP de origen, método de solicitud HTTP, raíz de URI, probablemente consulta de URI, puerto del servidor, nombre de usuario, dirección IP del servidor, agente de usuario, resultado HTTP, probablemente estado de Win32 y probablemente tiempo empleado.
(Los campos "probablemente" se deben a que no puedo estar seguro sin ver más del archivo). El encabezado del archivo le indicará el formato con seguridad.
Necesitas echarle un vistazo a ese archivo de 1,67 GB; te dirá qué pasa. El inicio de sesión deshabilitado en el sitio evitará que el disco duro se llene nuevamente, pero desea saber qué sucede detrás de escena, ya que afectará el rendimiento del servidor de alguna manera. En última instancia, desea llegar al fondo de la causa y luego habilitar el registro nuevamente (para tener un seguimiento de auditoría si tiene que rastrear extrañezas nuevamente en el futuro).
Respuesta2
Solución:
- Desactive el registro para el sitio de administración de WSUS.
- Eso es todo.
La consola SBS se comporta normalmente. Aparentemente está diseñado para realizar una gran cantidad de registros. Imagínate.
Aquí está el artículo del Blog de SBS que brinda más detalles sobre la solución:Recuperar espacio en disco en la unidad C: en Small Business Server 2008
Aquí está el hilo del foro de SBS 2008 que explica por qué esta es la respuesta:La consola SBS 2008 causa problemas de espacio en disco (el registro de IIS se está volviendo loco)
Te lo agradezco.
Respuesta3
¿WSUS funciona bien? Podría intentar ejecutar la herramienta de diagnóstico WSUS.
Herramientas y utilidades de los servicios de actualización de Microsoft Windows Server
Respuesta4
En una nota relacionada, es posible que desee considerar desactivar el registro de forma permanente para el sitio WSUS. Es cierto que puede ser útil para solucionar problemas de WSUS, pero siempre puedes activarlo según sea necesario.
Dicho esto, investigaría la causa raíz de todas las entradas del registro y abordaría ese problema, lo que luego hará que mi oración anterior sea discutible. ;)