Percebi que meu servidor web, 2008 Xen VM, está perdendo gradualmente espaço livre - mais do que eu imaginaria com o uso normal e decidi investigar.
Existem duas áreas problemáticas:
*C:\Users\Administrator\ (6,755.0 MB)*
with files:
NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf
E
C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)
with files
UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf
Pelo que entendi, esses são backups em tempo real de alterações no registro. Se for esse o caso, não consigo entender por que haveria mais de 10.000 alterações. (É quantos arquivos existem por local de pasta, mais de 20.000 por pasta no total.)
Os arquivos estão usando quase 15 GB de espaço e quero me livrar deles, só estou pensando se posso removê-los. No entanto, preciso entender por que eles estão sendo criados para poder evitar isso no futuro.
Alguma idéia de por que haveria tantos? Existe uma maneira de verificar o que está fazendo as modificações?
- Eles são criados com tentativas de login?
- Eles são criados em relação ao uso diário do servidor Web?
- etc e assim por diante
Responder1
Na verdade, eles não são backups de alterações no registro; na verdade, são o que são as alterações no registro antes de se tornarem alterações no registro. Em essência, um tipo de .tmparquivo para alterações de registro.
Como proteção contra corrupção de registro, que costumava ser um problema bastante comum e muito desagradável no Windows, o que as versões mais recentes do Windows fazem quando uma alteração no registro é solicitada é gravar a alteração solicitada em um arquivo antes de fazer qualquer coisa. (Para alterações no hive do usuário, esses arquivos estão no formato NTUSER.DAT{GUID}.TMContainer####################.regtrans-mse são numerados sequencialmente - volte o suficiente e você verá um 00000000000000000001arquivo.) Depois que o Windows determinar que é "seguro" gravar a alteração no registro, ele faz isso e, em seguida, verificará se a alteração foi feita, momento em que excluirá o arquivo e passará para outras tarefas do sistema operacional. Quando algo falha nesse processo, você acaba acumulando esses arquivos.
E claramente, no seu caso, algo em algum lugar desse processo não está funcionando corretamente. Aposto que, se você olhar no servidor, Event Logsverá uma tonelada de erros sobre isso, na forma de eventos sobre o bloqueio do registro ou a impossibilidade de gravar alterações no registro. (Provavelmente na linha de Unable to open registry for writingou Failed to update system registry). Estas podem ser indicações de problemas sérios ou de que alguns programas PITA desejam gravar uma alteração no registro toda vez que são iniciados e não têm permissão.
Há também a possibilidade menos provável de que as alterações estejam sendo gravadas, mas os arquivos não possam ser excluídos, como aconteceria se o identificador de bloqueio dos arquivos não estivesse sendo finalizado corretamente ou se SYSTEMtivesse permissão de gravação, mas não tivesse permissões de exclusão para esses locais de pasta.
Pode ajudar a rastrear a fonte fazer uma soma md5 rápida (ou similar) desses arquivos para ver se eles são todos ou quase idênticos (o que indicaria a mesma alteração falhando ao gravar no registro repetidamente), ou se houver muita variação, o que provavelmente indica um problema sério - que o registro não pode ser gravado por muitos processos ou que os perfis de usuário em questão estão corrompidos.
Depois de terminar de analisá-los, qualquer um desses .blfarquivos .regtrans-mscriados antes da última inicialização do sistema pode ser excluído com segurança. Não há como eles serem (ou deveriam) ser gravados no registro, então eles são lixo.
Quanto ao que exatamente os está criando, isso é algo que você mesmo terá que descobrir, porque pode ser quase qualquer coisa. É possível que algo no código da web esteja tentando escrever uma alteração no registro toda vez que o site é acessado, mas falhe por falta de permissões (certamente já vi coisas mais idiotas), é possível que sejam geradas por logons de usuários e subsequentes atividade tentando gravar no registro e sem permissões e, como afirmado anteriormente, é até possível que eles estejam sendo criados e executados normalmente, mas não possam ser excluídos conforme planejado por algum motivo.
Verifique todos os seus logs, especialmente Event Logsos logs do IIS, em busca de erros relacionados ao registro, para restringi-los e descobrir o que está causando isso.
Responder2
Esses arquivos são criados quando um perfil é recriado ou iniciado. Eles também são fontes de problemas, porque são “assinados” no sentido de que são residentes e, portanto, tornam-se o foco de intrusos ou hackers, se preferir.
Seguindo as instruções, RT-CLK Meu Computador, Propriedades, selecione 'Configurações Avançadas do Sistema' e depois 'Configurações' em Perfis de Usuário. Você deve esperar uma lista de todos os PERFIS, ou seja, um para cada USUÁRIO.
As lentidão sempre convidam os inspetores e, às vezes, eles ignoram algo que poderia ser importante. Em uma máquina aqui, havia um PERFIL chamado "DefaultProfile", que obviamente é falso e foi excluído. Em outro, havia um PERFIL chamado “Perfil Padrão”, que também é falso. No entanto, este último não é facilmente removido.
Isso indica que alguém invadiu e está crescendo, que em uma terceira máquina se tornou um PERFIL DE USUÁRIO de cerca de 231 GB (!!!), tornando a inicialização uma experiência de espera inexorável. Eventualmente, o usuário tolerante ficou irritado quando algo que ele vinha fazendo o tempo todo não estava acontecendo.
Todas as contas de usuário naquela máquina, incluindo o Administrador, foram alteradas para HOME USER e/ou GUEST. Apenas tente obter um prompt de comando elevado disso!
Portanto, se você excluir um PERFIL DE USUÁRIO e, em seguida, efetuar login novamente, um novo perfil será criado usando o DefaultProfile e no Win10, isso é evidente pela bobagem 'Oi' que o faz parecer melhor que o Windows Qualquer que seja ao longo dos anos. Se você fizer logon e procurar em C:\Users\ (qualquer que seja)\Appdata\Local (para arquivos ocultos), verá os arquivos REGTRANS-MS ofensivos, numerados e COMPRIMENTO ZERO.
Eles estão cheios de alterações, que muitas vezes resultam em ações tomadas nas configurações dos arquivos em uso, o que ainda é proibido. Depois que a sessão é concluída, as alterações são invocadas e os dados no arquivo se tornam o material de que os logs são feitos para publicidade/rastreamento e uma série de coisas que apenas os 'Gênios' da Microsoft tratam agora.
Saúde.