Я заметил, что мой веб-сервер, 2008 Xen VM, постепенно теряет свободное место — больше, чем я ожидал при обычном использовании, и решил разобраться.
Есть две проблемные области:
*C:\Users\Administrator\ (6,755.0 MB)*
with files:
NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf
И
C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)
with files
UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf
Насколько я понимаю, это резервные копии изменений реестра в реальном времени. Если это так, то я не могу понять, почему там должно быть 10000+ изменений. (Именно столько файлов в каждом местоположении папки, более 20000 в каждой папке в общей сложности.)
Файлы занимают почти 15 ГБ места, и я хочу избавиться от них, мне просто интересно, можно ли их удалить. Однако мне нужно понять, почему они создаются, чтобы я мог избежать этого в будущем.
Есть идеи, почему их так много? Есть ли способ проверить, что именно вносит изменения?
- Они создаются при попытках входа в систему?
- Созданы ли они с учетом повседневного использования веб-сервера?
- и т.д. и т.п.
решение1
Они не являются резервными копиями изменений реестра, на самом деле, они являются тем, чем являются изменения в реестре до того, как они становятся изменениями в реестре. Тип файла .tmpдля изменений реестра, по сути.
В качестве защиты от повреждения реестра, которое раньше было довольно распространенной и очень неприятной проблемой в Windows, более новые версии Windows при запросе на изменение реестра записывают запрошенное изменение в файл, прежде чем что-либо делать. (Для изменений в кусте пользователя эти файлы имеют форму NTUSER.DAT{GUID}.TMContainer####################.regtrans-msи нумеруются последовательно — вернитесь достаточно далеко назад, и вы должны увидеть файл 00000000000000000001.) Как только Windows определит, что «безопасно» записывать изменение в реестр, она это делает, а затем проверяет, было ли внесено изменение, после чего удаляет файл и переходит к другим задачам ОС. Когда что-то в этом процессе дает сбой, вы в конечном итоге накапливаете эти файлы.
И, очевидно, в вашем случае, что-то, где-то в этом процессе работает неправильно. Я бы поставил кругленькую сумму, что если вы посмотрите на сервер, то Event Logsувидите целую кучу ошибок по этому поводу, в виде событий о блокировке реестра или невозможности записать изменения в реестр. (Вероятно, в духе Unable to open registry for writingили Failed to update system registry). Это могут быть признаки серьезных проблем, или они могут быть признаками того, что некоторые программы PITA хотят записать изменения в реестр каждый раз, когда они запускаются, и не имеют на это разрешения.
Существует также менее вероятная возможность того, что изменения записываются, но файлы не могут быть удалены, как это может произойти, если дескриптор блокировки файлов не был завершен должным образом или если SYSTEMесть разрешение на запись, но нет разрешений на удаление для этих папок.
Для отслеживания источника может помочь быстрое суммирование md5 (или что-то подобное) этих файлов, чтобы увидеть, являются ли они все или в основном идентичными (что будет означать, что одно и то же изменение не записывается в реестр снова и снова), или же если есть много вариаций, что, скорее всего, указывает на серьезную проблему — реестр не может быть записан многими процессами, или что профили пользователей, о которых идет речь, повреждены.
После того, как вы закончите их анализ, любой из этих файлов .blfили .regtrans-msфайлов, которые были созданы до последней загрузки системы, можно безопасно удалить. Нет никакого способа, которым они будут (или должны) быть записаны в реестр, так что они мусор.
Что касается того, что именно создает их, это то, что вам придется отслеживать самостоятельно, потому что это может быть почти что угодно. Возможно, что-то в веб-коде пытается записать изменение реестра каждый раз, когда сайт посещается, но терпит неудачу из-за отсутствия разрешений (я, конечно, видел и более глупые вещи), возможно, что они генерируются входами пользователей в систему и последующей активностью, пытающихся записать в реестр при отсутствии разрешений, и, как было сказано ранее, возможно даже, что они создаются и выполняются нормально, но по какой-то причине не могут быть удалены, как предполагалось.
Проверьте все свои журналы, особенно свои Event Logsи журналы IIS, на наличие ошибок, связанных с реестром, чтобы сузить круг поиска и выяснить причину.
решение2
Эти файлы создаются при повторном создании или инициировании профиля. Они также являются источниками проблем, поскольку они «подписаны» в том смысле, что они являются резидентными и, таким образом, становятся объектом внимания злоумышленников или хакеров, если хотите.
Следуя инструкциям, RT-CLK Мой компьютер, Свойства, выберите «Дополнительные параметры системы», а затем «Параметры» в разделе Профили пользователей. Вы должны ожидать список всех ПРОФИЛЕЙ, то есть по одному для каждого ПОЛЬЗОВАТЕЛЯ.
Замедления всегда привлекают инспекторов, и порой они упускают из виду что-то важное. На одной машине здесь был ПРОФИЛЬ с именем "DefaultProfile", который, конечно же, является поддельным и был удален. На другой машине был ПРОФИЛЬ с именем "Default Profile", который также является поддельным. Однако последний не так легко удалить.
Это означает, что кто-то взломал систему и наращивает ее до крещендо, которое на третьей машине стало ПРОФИЛЕМ ПОЛЬЗОВАТЕЛЯ размером около 231 ГБ (!!!), превращая загрузку в неумолимое ожидание. В конце концов, терпимый пользователь начал раздражаться, когда то, что он делал все это время, не происходило.
Все учетные записи пользователей на этой машине, включая Администратора, были изменены на HOME USER и/или GUEST. Просто попробуйте получить повышенную командную строку оттуда!
Итак, если вы удалите ПРОФИЛЬ ПОЛЬЗОВАТЕЛЯ, а затем войдете в систему заново, новый профиль будет создан с использованием DefaultProfile, а в Win10 это очевидно по чепухе «Привет», которая делает его лучше, чем Windows Whatever на протяжении многих лет. Если вы войдете в систему и затем посмотрите в C:\Users\ (whatever)\Appdata\Local (на наличие скрытых файлов), вы увидите проблемные файлы REGTRANS-MS, пронумерованные и НУЛЕВОЙ ДЛИНЫ.
Они заполнены изменениями, которые часто являются результатом действий, предпринимаемых в отношении настроек используемых файлов, что по-прежнему является табу. После завершения сеанса изменения активизируются, и данные в файле становятся тем материалом, из которого делаются журналы для рекламы/отслеживания и целой кучи вещей, о которых знают только «гении» из Microsoft.
Ваше здоровье.