Я заметил, что мой веб-сервер, 2008 Xen VM, постепенно теряет свободное пространство - больше, чем я бы ожидал при нормальном использовании, и решил исследовать.
Есть две проблемные области:
*C:\Users\Administrator\ (6,755.0 MB)*
with files:
NTUSER.DAT{randomness}.TMContainer'0000 randomness'.regtrans-ms
NTUSER.DAT{randomness}.TM.blf
И
C:\Users\Administrator\AppData\Local\Microsoft\Windows\ (6,743.8 MB)
with files
UsrClass.dat{randomness}.TMContainer'0000 randomness'.regtrans-ms
UsrClass.dat{randomness}.TM.blf
Насколько я понимаю, это своевременные резервные копии изменений реестра. Если это так, я не могу понять, почему должно быть более 10000 изменений. (Вот сколько файлов в папке, всего более 20000 на папку.)
Файлы занимают почти 15 ГБ места, и я хочу избавиться от них, мне просто интересно, могу ли я их удалить. Однако мне нужно понять, почему они создаются, чтобы избежать этого в будущем.
Есть идеи, почему их так много? Есть ли способ проверить, что вносит изменения?
На самом деле это не резервные копии изменений реестра, а то, чем являются изменения в реестре, прежде чем они станут изменениями в реестре. Тип .tmp файл для изменений реестра, по сути.
В качестве защиты от повреждения реестра, которое раньше было довольно распространенной и очень неприятной проблемой в Windows, более новые версии Windows делают при запросе изменения в реестре записывают запрошенное изменение в файл перед тем, как что-либо делать. (Для изменений в пользовательском кусте эти файлы имеют вид NTUSER.DAT{GUID}.TMContainer####################.regtrans-ms, и пронумерованы последовательно - вернитесь достаточно далеко, и вы увидите 00000000000000000001 файл.) Как только Windows определила, что запись изменения в реестр «безопасна», она это сделает, а после этого проверит, что изменение было внесено, после чего удалит файл и перейдет к другому Задачи ОС. Когда что-то в этом процессе не удается, вы в конечном итоге собираете эти файлы.
И ясно, что в вашем случае что-то в этом процессе не работает должным образом. Готов поспорить, что если вы посмотрите сервер Event Logs вы увидите массу ошибок по этому поводу в виде событий о блокировке реестра или невозможности записи изменений в реестр. (Вероятно, в духе Unable to open registry for writing или Failed to update system registry). Это может быть признаком серьезных проблем или указанием на то, что некоторые программы PITA хотят записывать изменения в реестр при каждом запуске и не имеют разрешения.
Также существует менее вероятная вероятность того, что изменения записываются, но файлы не могут быть удалены, как это могло бы случиться, если дескриптор блокировки файлов не завершается должным образом или если SYSTEM имеет разрешение на запись, но не имеет прав на удаление этих папок.
Это может помочь в отслеживании источника, чтобы быстро вычислить сумму md5 (или аналогичную) этих файлов, чтобы увидеть, все ли они или в основном идентичны (что указывало бы на то, что одно и то же изменение не записывается в реестр снова и снова), или если есть много вариаций, что с большей вероятностью указывает на серьезную проблему - что реестр не может быть записан множеством процессов, или что соответствующие профили пользователей повреждены.
Как только вы закончите их анализ, любой из этих .blf или .regtrans-ms файлы, которые были созданы до последней загрузки системы, можно безопасно удалить. Они не будут (или должны) быть записаны в реестр, поэтому они мусор.
Что касается того, что именно создает их, вам придется отследить самостоятельно, потому что это может быть что угодно. Возможно, что-то в веб-коде пытается внести изменения в реестр каждый раз при доступе к сайту, но не работает из-за отсутствия разрешений (я, конечно, видел более глупые вещи), возможно, они генерируются при входе в систему пользователя и последующих активность, пытающаяся записать в реестр и не имеющая разрешений, и, как указывалось ранее, даже возможно, что они создаются и выполняются в обычном режиме, но не могут быть удалены по какой-либо причине.
Проверьте все свои журналы, особенно Event Logs и журналы IIS для ошибок, связанных с реестром, чтобы сузить его и выяснить, что их вызывает.
Эти файлы создаются при воссоздании или инициализации профиля. Они также являются источником проблем, потому что они «подписаны» в том смысле, что они являются резидентами и, таким образом, становятся объектом внимания злоумышленников или хакеров, если хотите.
Следуя инструкциям, RT-CLK «Мой компьютер», «Свойства», выберите «Дополнительные настройки системы», а затем «Настройки» в разделе «Профили пользователей». Вы должны ожидать список всех ПРОФИЛЕЙ, то есть по одному для каждого ПОЛЬЗОВАТЕЛЯ.
Замедление работы всегда требует инспекторов, и иногда они упускают из виду что-то важное. Здесь на одном компьютере был ПРОФИЛЬ с именем «DefaultProfile», который, конечно, был поддельным и был удален. С другой стороны, был ПРОФИЛЬ с именем «Профиль по умолчанию», который также является подделкой. Однако последний удалить нелегко.
Это указывает на то, что кто-то взломал систему и нарастает до крещендо, которое на третьей машине стало ПРОФИЛЕМ ПОЛЬЗОВАТЕЛЯ размером примерно 231 ГБ (!!!), что делает загрузку неумолимой. В конце концов, терпимый пользователь стал раздражаться, когда то, что он делал все это время, не происходило.
Все учетные записи пользователей на этом компьютере, включая администратора, были изменены на ГЛАВНЫЙ ПОЛЬЗОВАТЕЛЬ и / или ГОСТЬ. Просто попробуйте получить от этого командную строку с повышенными привилегиями!
Итак, если вы удалите ПРОФИЛЬ ПОЛЬЗОВАТЕЛЯ, а затем войдете в систему заново, новый профиль будет создан с использованием DefaultProfile, а в Win10 это видно по вздору «Привет», благодаря которому он выглядит лучше, чем Windows Whatever на протяжении многих лет. Если вы вошли в систему, а затем заглянули в C: \ Users \ (что угодно) \ Appdata \ Local (для скрытых файлов), вы увидите оскорбительные файлы REGTRANS-MS, пронумерованные и НУЛЕВОЙ ДЛИНЫ.
Они наполнены изменениями, которые часто возникают в результате действий, предпринятых в настройках используемых файлов, что по-прежнему недопустимо. После завершения сеанса изменения вызываются, и данные в файле становятся журналами, из которых создаются для рекламы / отслеживания и целого ряда вещей, о которых сейчас говорят только «гении» в Microsoft.
Ура.