В C: на нашем сервере SBS 2008 просто закончилось место. По всей видимости, виноват IIS, который регистрирует невероятное количество активности в одной конкретной папке журналов. Большинство папок журналов IIS выглядят нормально, но каждый из ежедневных файлов в C:\inetpub\logs\LogFiles\W3SVC1372222313 составляет не менее 4,4 МБ, самый большой из которых был вчера - 1,67 ГБ!
Самые большие я даже не могу открыть на сервере, но я изучил несколько более мелких. Все они показывают несколько десятков записей, вносимых каждые несколько минут, которые выглядят следующим образом:
2009-07-11 00:00:02 fe80::5558:434c:a610:405a%10 POST /ApiRemoting30/WebService.asmx - 8530 [ДОМЕННОЕ ИМЯ]\[SERVERNAME $] fe80::5558:434c:a610:405a%10 Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.4016) 200 0 0 3
Обычно 40 или 50 из этих записей будут сделаны за одну секунду с перерывами в 2-5 минут между каждой партией записей. Другой 1 процент записей в файле, по-видимому, связан с WSUS.
Я собираюсь удалить большинство этих файлов, потому что у меня действительно нет выбора, но я хотел бы знать, что вызывает это неконтролируемое ведение журнала и как закрыть его в будущем.
ОБНОВИТЬ: Хорошо, я смог изучить еще несколько файлов. Раздутие, очевидно, вызвано тем, что что-то идет не так, когда кто-то (то есть я или другой администратор) входит в WSUS в интерактивном режиме:
Проблема начинается с единственной записи в журнале без имени пользователя (просто "-"). Он получает статус HTTP 401.2 и sc-win32-status код 5.
За этим следует длинный ряд записей, которые чередуются между отсутствием имени пользователя и моим собственным именем пользователя. Те, у кого нет имени пользователя, имеют статус HTTP 401.1 и sc-win32-status из 2148074254. Те, у которых есть мое имя пользователя, являются обычным HTTP 200 записи.
Насколько я могу судить, происходит следующее: когда я вхожу в систему для администрирования WSUS через консоль SBS, NTLM-аутентификация не сохраняется за кулисами, вызывая постоянные попытки повторной аутентификации на протяжении всего сеанса, прозрачно для меня. Сотни этих записей создаются каждую секунду, добавляя около 70 МБ в час в файл журнала. Понятия не имею, почему это происходит.
Это доступ к WSUS на основе IPv6, который вы там видите.
Временно отключите ведение журнала, чтобы не заполнять диск снова:
Это предотвратит накопление бревен.
Я не могу сказать, что раньше видел, как трафик, связанный с WSUS, накапливает такие большие журналы. 4,4 МБ в день не является чем-то необычным, но 1,67 ГБ в день означает, что что-то пошло не так.
Вчерашний файл журнала расскажет вам многое о том, что происходило. Мне трудно поверить, что это был весь трафик WSUS. Интересно, а не на серверном компьютере что-то еще не начало грохотать. Снимите с машины этот больший файл журнала и взгляните на него.
Ваш журнал выглядит так, как будто он в расширенном формате W3C. Формат этого файла журнала выглядит следующим образом:
Дата, время, исходный IP-адрес, метод HTTP-запроса, основа URI, возможно, URI-запрос, порт сервера, имя пользователя, IP-адрес сервера, пользовательский агент, результат HTTP, возможно, статус Win32 и, возможно, затраченное время
(Поля «вероятно» созданы, потому что я не могу быть уверенным, не увидев больше файла.) Заголовок файла точно укажет вам формат.
Вам нужно взглянуть на этот файл размером 1,67 ГБ - он расскажет вам, что случилось. Отключение журнала на сайте предотвратит повторное заполнение жесткого диска, но вы хотите знать, что происходит за кулисами, поскольку это каким-то образом повлияет на производительность сервера. В конечном итоге вы хотите разобраться в причине, а затем снова включить ведение журнала (чтобы у вас был контрольный журнал, если вам снова придется отслеживать странности в будущем).
Решение:
Консоль SBS работает нормально. По-видимому, он разработан для сумасшедшего количества журналов. Иди разберись.
Вот статья в блоге SBS, которая дает более подробную информацию о решении: Восстановление дискового пространства на диске C: в Small Business Server 2008
Вот ветка форума SBS 2008, объясняющая, почему это ответ: Консоль SBS 2008 вызывает проблему с дисковым пространством (журнал IIS выходит из строя)
Я благодарю тебя.
Кстати, вы можете подумать о том, чтобы навсегда отключить ведение журнала для сайта WSUS. Конечно, это может быть полезно для устранения проблем WSUS, но вы всегда можете включить его по мере необходимости.
Сказав это, я хотел бы изучить основную причину всех записей журнала и решить эту проблему, что затем сделает мое предыдущее предложение спорным вопросом. ;)
С одной стороны, вы все еще хотите выяснить, почему у вас создается такой большой трафик журнала (здесь нет предложений ...), но я обнаружил, что папка журнала является хорошим кандидатом для сжатия NTFS. Эти текстовые файлы хорошо сжимаются, и, поскольку вы редко открываете файлы журнала, вы, вероятно, даже не заметите, что они сжаты.
WSUS работает нормально? Вы можете попробовать запустить средство диагностики WSUS.
Инструменты и утилиты служб Microsoft Windows Server Update Services
У меня точно такая же проблема, и я просто наткнулся на нее, потому что системный раздел заполнялся. С того дня, как я запустил сервер, эта ошибка записывается в файлы журнала несколько раз в секунду, как описано выше. Пик был файлом размером около 270 мб.
Мне очень странно, что IP-адреса источника и назначения всегда одинаковы. это наводит на мысль, что сервер не может разговаривать сам с собой. Я уже нашел статью, посвященную этой проблеме, но в моем случае это не помогло: http://verbalprocessor.com/2008/06/03/sccm-and-wsus-on-server-2008/
Кто-нибудь узнал об этом что-нибудь новое?