我們的 SBS 2008 伺服器上的磁碟機C:空間不足。罪魁禍首似乎是 IIS,它在一個特定的日誌資料夾中記錄了大量的活動。大部分IIS日誌資料夾看起來都很正常,但裡面的每個日常檔案C:\inetpub\logs\LogFiles\W3SVC1372222313至少有4.4MB,其中最大的是昨天的,有1.67GB!
最大的我什至無法在伺服器上打開,但我檢查了幾個較小的。它們都顯示每隔幾分鐘就會產生數十個條目,如下所示:
2009-07-11 00:00:02 fe80::5558:434c:a610:405a%10 POST /ApiRemoting30/WebService.asmx - 8530 [DOMAINNAME]\[SERVERNAME$] fe80::5558:434c:a610:405a%10 Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.4016) 200 0 0 3
通常,同一秒內會產生 40 或 50 個條目,每批條目之間的間隔為 2-5 分鐘。文件中另外 1% 的條目似乎涉及 WSUS。
我將刪除其中大部分文件,因為我真的別無選擇,但我想知道是什麼導致了這種失控的日誌記錄以及將來如何控制它。
更新:好的,我已經能夠檢查更多文件了。膨脹顯然是由某人(即我或其他管理員)互動登入 WSUS 時出現問題引起的:
問題始於沒有使用者名稱(只有“
-”)的單一日誌條目。它會取得 HTTP 狀態401.2和sc-win32-status程式碼5。接下來是一長串條目,這些條目在無用戶名和我自己的用戶名之間交替。沒有使用者名稱的 HTTP 狀態為
401.1和sc-win32-statusa2148074254。帶有我的使用者名稱的都是普通的 HTTP200條目。
據我所知,似乎發生的情況是,當我透過SBS 控制台登入管理WSUS 時,NTLM 驗證不會在幕後持續存在,導致整個會話期間不斷進行重新驗證嘗試,這對我來說是透明的。每秒都會建立數百個此類條目,每小時會在日誌檔案中新增約 70MB。我不知道為什麼會發生這種情況。
答案1
這就是您在此處看到的基於 IPv6 的 WSUS 存取。
暫時停用日誌記錄,以便您不會再次填充磁碟機:
- 跳到 IIS 管理器
- 找到 WSUS 網站(它將是偵聽連接埠 8530 的網站)
- 開啟站台根目錄的日誌記錄屬性
- 按一下「動作」窗格中的「停用」。
這將阻止日誌堆積。
我不能說我以前見過 WSUS 相關的流量累積日誌那麼大。一天 4.4MB 並不是聞所未聞,但一天 1.67GB 就意味著出了問題。
昨天的日誌檔案將告訴您很多有關發生的事情的資訊。我很難相信這都是 WSUS 流量。我想知道是否有其他東西沒有開始撞擊伺服器電腦。從機器上取出較大的日誌檔案並查看它。
您的日誌看起來像是 W3C 擴充格式。該日誌檔案的格式似乎是:
日期、時間、來源 IP 位址、HTTP 請求方法、URI 詞幹、可能的 URI 查詢、伺服器連接埠、使用者名稱、伺服器 IP 位址、使用者代理、HTTP 結果、可能的 Win32 狀態以及可能花費的時間
(「可能」欄位是因為在沒有看到更多文件的情況下我無法確定。)文件上的標題會明確告訴您格式。
您需要查看那個 1.67GB 的檔案——它會告訴您發生了什麼。在網站上停用日誌記錄將阻止硬碟再次填滿,但您想知道幕後發生了什麼,因為它將以某種方式影響伺服器效能。最終,您希望找出原因的根源,然後再次啟用日誌記錄(以便在將來必須再次追蹤異常情況時可以進行審核追蹤)。
答案2
解決方案:
- 關閉 WSUS 管理站點的日誌記錄。
- 就是這樣。
SBS 控制台運作正常。顯然它的設計目的是進行大量的日誌。去搞清楚。
以下是 SBS 部落格文章,提供了有關解決方案的更多詳細資訊:復原 Small Business Server 2008 中 C: 磁碟機上的磁碟空間
以下是 SBS 2008 論壇主題,解釋了為什麼這是答案:SBS 2008 控制台導致磁碟空間問題(IIS 日誌變得混亂)
我謝謝你。
答案3
WSUS 工作正常嗎?您可以嘗試執行 WSUS 診斷工具。
答案4
與此相關的是,您可能需要考慮永久關閉 WSUS 網站的日誌記錄。當然,它對於解決 WSUS 問題可能很有用,但您始終可以根據需要打開它。
話雖如此,我將調查所有日誌條目的根本原因並解決該問題,這將使我之前的句子變得毫無意義。 ;)