主页 / server / 问题 / 41808
Accepted
phenry
Asked: 2009-07-17 11:35:22 +0800 CST

SBS 2008 上的 IIS 7 - 日志记录变得混乱

  • 772

C:我们 SBS 2008 服务器上的驱动器空间不足。罪魁祸首似乎是 IIS,它在一个特定的日志文件夹中记录了大量的活动。大部分IIS日志文件夹看起来都正常,但每个日文件C:\inetpub\logs\LogFiles\W3SVC1372222313至少有4.4MB,昨天最大的是1.67GB!

最大的我什至无法在服务器上打开,但我已经检查了几个较小的。它们都显示每隔几分钟就会创建几十个条目,如下所示:

2009-07-11 00:00:02 fe80::5558:434c:a610:405a%10 POST /ApiRemoting30/WebService.asmx - 8530 [DOMAINNAME]\[SERVERNAME$] fe80::5558:434c:a610:405a%10 Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.4016) 200 0 0 3

通常,40 或 50 个此类条目将在同一秒内完成,每批条目之间的间隔为 2-5 分钟。文件中其他 1% 的条目似乎涉及 WSUS。

我将删除其中的大部分文件,因为我真的别无选择,但我想知道是什么导致了这种失控的日志记录,以及将来如何控制它。

更新:好的,我已经能够检查更多文件。当某人(即我或其他管理员)以交互方式登录到 WSUS 时出现问题,显然会导致膨胀:

  1. 麻烦始于没有用户名的单个日志条目(只是“ -”)。它得到一个 HTTP 状态401.2sc-win32-status一个5.

  2. 接下来是一长串在无用户名和我自己的用户名之间交替出现的条目。没有用户名的 HTTP 状态为401.1sc-win32-status2148074254我的用户名是普通的 HTTP200条目。

据我所知,似乎正在发生的事情是,当我通过 SBS 控制台登录管理 WSUS 时,NTLM 身份验证不会在幕后持续存在,导致整个会话期间不断进行重新身份验证尝试,这对我来说是透明的。每秒都会创建数百个这样的条目,每小时向日志文件增加大约 70MB。我不知道为什么会这样。

windows-server-2008 iis iis-7 windows-sbs-2008 wsus

6 个回答

  1. Best Answer

    这就是您在那里看到的对 WSUS 的基于 IPv6 的访问。

    暂时禁用日志记录,以免再次填充驱动器:

    • 跳转到 IIS 管理器
    • 找到 WSUS 网站(它将是侦听端口 8530 的网站)
    • 调出站点根目录的日志记录属性
    • 在“操作”窗格中单击“禁用”。

    这将阻止日志的建立。

    我不能说我以前见过与 WSUS 相关的流量建立如此大的日志。一天 4.4MB 并非闻所未闻,但一天 1.67GB 就意味着出了问题。

    昨天的日志文件会告诉你很多关于发生的事情。我很难相信这都是 WSUS 流量。我想知道是否有其他东西没有开始在服务器计算机上敲打。从机器上获取更大的日志文件并查看它。

    您的日志看起来像是 W3C 扩展格式。该日志文件的格式似乎是:

    日期,时间,源 IP 地址,HTTP 请求方法,URI 词干,可能是 URI 查询,服务器端口,用户名,服务器 IP 地址,用户代理,HTTP 结果,可能是 Win32 状态,可能花费的时间

    (“可能”字段是因为我无法确定没有看到更多文件。)文件上的标题会肯定地告诉你格式。

    你需要看看那个 1.67GB 的文件——它会告诉你发生了什么。在站点上禁用日志记录将防止硬盘驱动器再次装满,但您想知道幕后发生了什么,因为它会以某种方式影响服务器性能。最终,您希望找到原因的根源,然后再次启用日志记录(这样,如果您将来必须再次追踪异常情况,您就有了审计线索)。

    • 4

  2. 解决方案:

    1. 关闭 WSUS 管理站点的日志记录。
    2. 而已。

    SBS 控制台运行正常。显然,它的设计目的是进行大量的日志记录。去搞清楚。

    以下是 SBS 博客文章,其中提供了有关该解决方案的更多详细信息:Recovering Disk Space on the C: Drive in Small Business Server 2008

    这是 SBS 2008 论坛主题,解释了为什么这是答案:SBS 2008 控制台导致磁盘空间问题(IIS 日志变得混乱)

    我谢谢你。

    • 2

  3. WSUS 工作正常吗?您可以尝试运行 WSUS 诊断工具。

    Microsoft Windows Server 更新服务工具和实用程序

    • 1

  4. 在等式的一方面,您仍然想弄清楚为什么会生成如此多的日志流量(没有建议...),但我发现日志文件夹是 NTFS 压缩的良好候选者。这些文本文件压缩得很好,而且由于您很少打开日志文件,您可能甚至不会注意到它们已被压缩。

    • 1

  5. 在相关说明中,您可能需要考虑永久关闭 WSUS 站点的日志记录。当然,它可能有助于解决 WSUS 问题,但您可以随时根据需要打开它。

    话虽如此,我会调查所有日志条目的根本原因并解决该问题,这将使我的前一句话成为一个有争议的问题。;)

    • 1

  6. 我遇到了完全相同的问题,只是偶然发现了它,因为系统分区已满。从我启动服务器的那一天起,这个错误就会以上述方式每秒多次写入日志文件。峰值是一个大约 270mb 的文件。

    我觉得很奇怪源和目标 IP 地址总是相同的。这导致人们认为服务器与自身对话时出现问题。我已经找到了一篇解决这个问题的文章,但它对我的情况没有帮助:http: //verbalprocessor.com/2008/06/03/sccm-and-wsus-on-server-2008/

    有没有人发现任何新的东西?

    • 0

相关问题