Das Anwendungsereignisprotokoll wird immer wieder beschädigt

8

Ich habe kürzlich nach der Reparatur eines beschädigten Ereignisprotokolls gefragt , da es sich um ein einmaliges Ereignis zu handeln schien. Das Ereignisprotokoll hat seitdem dreimal dasselbe Verhalten gezeigt. Wir haben versucht, Muster zu finden, aber bisher haben wir nichts gefunden. Auf dem Server werden mehrere ASP.NET-Anwendungen und drei in .NET geschriebene geplante Aufgaben ausgeführt. Das letzte Änderungsdatum des Ereignisprotokolls war zufällig dieselbe Zeit wie eine der geplanten Aufgaben, die anderen jedoch nicht.

Irgendwelche Vorschläge, wo wir als nächstes suchen sollen oder wie wir Informationen aus einer beschädigten evtx-Datei erhalten können?

Auf dem Server werden wichtige E-Commerce-Anwendungen ausgeführt, daher möchten wir die Anzahl der erforderlichen Neustarts auf ein Minimum beschränken.

Edit: Ich habe DUMPEL ausgeführt und sehr seltsame Ergebnisse erzielt.

1/9/2012    4:14:05 PM  1   100 1000    Application Error       N/A SERVERNAME  Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8  Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58  Exception code: 0xc0000374  Fault offset: 0x000ce653  Faulting process id: 0x1070  Faulting application start time: 0x01cccf1386d30991  Faulting application path: C:\Windows\SysWOW64\inetsrv\w3wp.exe  Faulting module path: C:\Windows\SysWOW64\ntdll.dll  Report Id: dbf4f691-3b06-11e1-9025-005056a602e6  
1/9/2012    4:14:07 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_79d9  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER975.tmp.appcompat.txt  C:\Windows\Temp\WERA03.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WERA13.tmp.hdmp  C:\Windows\Temp\WERD21.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_cd7d09dfc84119d82a2ac6a789038bd5661acfb_cab_128f0e67    Analysis symbol:   Rechecking for solution: 0  Report Id: dbf4f691-3b06-11e1-9025-005056a602e6  Report Status: 4  
1/9/2012    4:14:07 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_79d9  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER975.tmp.appcompat.txt  C:\Windows\Temp\WERA03.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WERA13.tmp.hdmp  C:\Windows\Temp\WERD21.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_cd7d09dfc84119d82a2ac6a789038bd5661acfb_cab_128f0e67    Analysis symbol:   Rechecking for solution: 0  Report Id: dbf4f691-3b06-11e1-9025-005056a602e6  Report Status: 0  
1/9/2012    4:14:12 PM  1   100 1000    Application Error       N/A SERVERNAME  Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8  Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58  Exception code: 0xc0000374  Fault offset: 0x000ce653  Faulting process id: 0x16ac  Faulting application start time: 0x01cccf139f475c0c  Faulting application path: C:\Windows\SysWOW64\inetsrv\w3wp.exe  Faulting module path: C:\Windows\SysWOW64\ntdll.dll  Report Id: e03bae70-3b06-11e1-9025-005056a602e6  
1/9/2012    4:14:16 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER2579.tmp.appcompat.txt  C:\Windows\Temp\WER25F7.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WER25F8.tmp.hdmp  C:\Windows\Temp\WER28F6.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_cab_0b63321b    Analysis symbol:   Rechecking for solution: 0  Report Id: e03bae70-3b06-11e1-9025-005056a602e6  Report Status: 4  
1/9/2012    4:14:16 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER2579.tmp.appcompat.txt  C:\Windows\Temp\WER25F7.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WER25F8.tmp.hdmp  C:\Windows\Temp\WER28F6.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_cab_0b63321b    Analysis symbol:   Rechecking for solution: 0  Report Id: e03bae70-3b06-11e1-9025-005056a602e6  Report Status: 0  
1/9/2012    4:14:21 PM  1   100 1000    Application Error       N/A SERVERNAME  Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8  Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58  Exception code: 0xc0000374  Fault offset: 0x000ce653  Faulting process id: 0x17f8  Faulting application start time: 0x01cccf13a4ba5126  Faulting application path: C:\Windows\SysWOW64\inetsrv\w3wp.exe  Faulting module path: C:\Windows\SysWOW64\ntdll.dll  Report Id: e57a0a85-3b06-11e1-9025-005056a602e6  
1/9/2012    4:14:21 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_1cfb4872    Analysis symbol:   Rechecking for solution: 0  Report Id: e57a0a85-3b06-11e1-9025-005056a602e6  Report Status: 4  
1/9/2012    4:14:21 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_1cfb4872    Analysis symbol:   Rechecking for solution: 0  Report Id: e57a0a85-3b06-11e1-9025-005056a602e6  Report Status: 0  

Keine der Dateien, auf die verwiesen wird, existiert tatsächlich (nicht einmal in WER ReportArchive). Dies sollten nicht die einzigen genannten Ereignisse sein. Die Protokolldatei wurde seit dem 9. Januar zweimal gelöscht, daher sollten diese Ereignisse überhaupt nicht aufgelistet werden.

Update (14.06.2016):
Wir haben diesen Server nicht mehr und können daher Lösungsvorschläge nicht mehr testen. Wir haben nie herausgefunden, was los war, aber seitdem haben wir alle unsere Dienste auf neue Server verschoben.

Yakatz
quelle
Mein erster Schritt wäre, dies in einer Umgebung ohne Prod zu replizieren. Können Sie einen anderen Server mit denselben Apps einrichten und prüfen, ob er erneut auftritt, oder eine VM-Kopie einrichten?
Sam Cogan
@ Sam Ich versuche, die notwendigen Ressourcen dafür aufzuspüren.
Yakatz
Hast du eine Lösung gefunden? Bitte beantworten Sie Ihre eigene Frage. Vielen Dank
MacGyver
2
@Leandro Wir haben keine Lösung gefunden, aber es scheint in letzter Zeit von selbst aufgehört zu haben.
Yakatz
Hat sich der Code im App-Pool seit dem ursprünglichen Auftreten überhaupt geändert? Die Dumpel-Ausgabe deutet darauf hin, dass einer Ihrer App-Pools abgestürzt ist und die Fehlerberichterstattung bei MS nach dem Status für diesen bestimmten Absturz gesucht hat. Ich würde vermuten, dass es eine nicht erfasste Ausnahme im Code gab, die den App-Pool zum Absturz brachte und die behoben wurde.
Nathan V

Antworten:

1

Überrascht wurde dies noch nicht erwähnt; Haben Sie das Dateisystem überprüft? Wenn es sich um eine lokale Festplatte handelt und Sie die Ausfallzeit aufsaugen können, markieren Sie das Volume für eine chkdsk und starten Sie es neu. Führen Sie nach Möglichkeit einen Oberflächenscan durch.

Beachten Sie, dass dies sehr zeitaufwändig ist. Besonders bei einem großen Volumen (+ 50 GB). Wenn möglich, fotografiere ein Wochenende.

Signal15
quelle
Es ist eigentlich eine VM, daher haben wir keinen Zugriff auf die physische Festplatte.
Yakatz
4
Die Tatsache, dass es sich um eine VM handelt, spielt keine Rolle. Möglicherweise ist das Dateisystem beschädigt. Führen Sie während Ihrer nächsten Ausfallzeit / Wartungsintervall eine 'chkdsk' aus.
Signal15
0

Klingt so, als hätten Sie möglicherweise ein Problem mit der Beschädigung des Dateisystems. Eine gute Möglichkeit, dies zu überprüfen, ohne einen Neustart durchführen zu müssen, besteht darin, Folgendes auszuführen:

sfc /scannow

Und sehen Sie, ob Sie eine Vielzahl von Korrekturen oder Fehlern erhalten. Wenn Sie dies tun, ist der beste nächste Schritt ein Neustart, um eine chkdsk auszuführen, um Ihre Partitionen zu reparieren und etwaige Fehler darin zu korrigieren. Wenn Sie danach immer noch Probleme haben, müssen Sie möglicherweise mit Ihrem Provider über die zugrunde liegende Hardware sprechen.

rtw
quelle
Dieser virtuelle Server existiert nicht mehr, daher kann ich mit dieser Frage nichts Neues testen, aber ich weiß, dass das Dateisystem in Ordnung war und wir zuvor ausgeführt wurden sfcund keine Fehler erhalten haben.
Yakatz