На диске C:нашего сервера SBS 2008 просто закончилось место. Виновником, похоже, является IIS, который регистрирует невероятное количество активности в одной конкретной папке журнала. Большинство папок журнала IIS выглядят нормально, но каждый из ежедневных файлов имеет размер C:\inetpub\logs\LogFiles\W3SVC1372222313не менее 4,4 МБ, а самый большой — вчерашний, 1,67 ГБ!
Самые большие я даже не могу открыть на сервере, но я проверил несколько маленьких. Все они показывают несколько десятков записей, которые делаются каждые несколько минут, и выглядят так:
2009-07-11 00:00:02 fe80::5558:434c:a610:405a%10 POST /ApiRemoting30/WebService.asmx - 8530 [DOMAINNAME]\[SERVERNAME$] fe80::5558:434c:a610:405a%10 Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.4016) 200 0 0 3
Обычно 40 или 50 таких записей будут сделаны в одну и ту же секунду, с промежутками в 2-5 минут между каждой группой записей. Остальные 1 процент записей в файле, по-видимому, связаны с WSUS.
Я собираюсь удалить большую часть этих файлов, потому что у меня нет выбора, но мне хотелось бы знать, что является причиной этого неконтролируемого логирования и как положить этому конец в будущем.
ОБНОВЛЯТЬ:Хорошо, мне удалось изучить еще несколько файлов. Раздувание, по-видимому, вызвано чем-то, что идет не так, когда кто-то (т. е. я или другой администратор) входит в WSUS интерактивно:
Проблема начинается с единственной записи в журнале без имени пользователя (только "
-"). Она получает HTTP-статус401.2иsc-win32-statusкод5.Далее следует длинный ряд записей, которые чередуются между отсутствием имени пользователя и моим собственным именем пользователя. Те, у которых нет имени пользователя, имеют статус HTTP
401.1и asc-win32-statusиз2148074254. Те, у которых есть мое имя пользователя, являются обычными200записями HTTP.
Итак, насколько я могу судить, происходит следующее: когда я вхожу в систему для администрирования WSUS через консоль SBS, аутентификация NTLM не сохраняется за кулисами, что приводит к постоянным попыткам повторной аутентификации в течение сеанса, незаметно для меня. Сотни таких записей создаются каждую секунду, добавляя около 70 МБ в час в файл журнала. Я понятия не имею, почему это происходит.
решение1
То, что вы там видите, — это доступ к WSUS на основе IPv6.
Временно отключите ведение журнала, чтобы снова не заполнять диск:
- Перейти в диспетчер IIS
- Найдите веб-сайт WSUS (он будет прослушивать порт 8530)
- Откройте свойства ведения журнала для корня сайта.
- Нажмите «Отключить» на панели «Действия».
Это остановит накопление бревен.
Не могу сказать, что я когда-либо видел, чтобы трафик, связанный с WSUS, создавал такие большие журналы. 4,4 МБ в день — это не что-то неслыханное, но 1,67 ГБ в день означают, что что-то пошло не так.
Вчерашний файл журнала расскажет вам многое о том, что происходило. Мне трудно поверить, что это был весь трафик WSUS. Интересно, не начало ли что-то еще стучать по серверному компьютеру. Снимите этот большой файл журнала с машины и посмотрите на него.
Ваш журнал выглядит так, как будто он в расширенном формате W3C. Формат этого файла журнала выглядит так:
Дата, время, исходный IP-адрес, метод HTTP-запроса, основа URI, вероятно, запрос URI, порт сервера, имя пользователя, IP-адрес сервера, пользовательский агент, результат HTTP, вероятно, статус Win32 и, вероятно, время выполнения
(Поля «вероятно» нужны, потому что я не могу быть уверен, не видя больше файла.) Заголовок файла точно скажет вам формат.
Вам нужно взглянуть на этот файл размером 1,67 ГБ — он расскажет вам, что происходит. Отключение ведения журнала на сайте предотвратит повторное заполнение жесткого диска, но вы хотите знать, что происходит за кулисами, поскольку это каким-то образом повлияет на производительность сервера. В конечном счете, вы хотите докопаться до сути причины, а затем снова включить ведение журнала (чтобы у вас был аудиторский след, если вам снова придется отслеживать странности в будущем).
решение2
Решение:
- Отключите ведение журнала для сайта администрирования WSUS.
- Вот и все.
Консоль SBS ведет себя нормально. Видимо, она рассчитана на безумный объем логов. Пойди разберись.
Вот статья в блоге SBS, в которой более подробно описывается решение:Восстановление дискового пространства на диске C: в Small Business Server 2008
Вот ветка форума SBS 2008, объясняющая, почему это правильный ответ:Консоль SBS 2008 вызывает проблемы с местом на диске (журнал IIS выходит из строя)
Я благодарю тебя.
решение3
WSUS работает нормально? Попробуйте запустить диагностический инструмент WSUS.
Инструменты и утилиты служб обновления Microsoft Windows Server
решение4
В связи с этим, вы можете рассмотреть возможность отключения ведения журнала навсегда для сайта WSUS. Конечно, это может быть полезно для устранения неполадок WSUS, но вы всегда можете включить его по мере необходимости.
Сказав это, я бы рассмотрел основную причину всех записей в журнале и решил эту проблему, что сделало бы мое предыдущее предложение спорным. ;)