我们的 SBS 2008 服务器上的驱动器C:空间刚刚用完。罪魁祸首似乎是 IIS,它在一个特定的日志文件夹中记录了大量活动。大多数 IIS 日志文件夹看起来正常,但每个每日文件C:\inetpub\logs\LogFiles\W3SVC1372222313至少有 4.4MB,最大的是昨天的,有 1.67 GB!
我甚至无法在服务器上打开最大的文件,但我检查了几个较小的文件。它们都显示每隔几分钟就会产生几十个条目,如下所示:
2009-07-11 00:00:02 fe80::5558:434c:a610:405a%10 POST /ApiRemoting30/WebService.asmx - 8530 [DOMAINNAME]\[SERVERNAME$] fe80::5558:434c:a610:405a%10 Mozilla/4.0+(compatible;+MSIE+6.0;+MS+Web+Services+Client+Protocol+2.0.50727.4016) 200 0 0 3
通常情况下,同一秒内会出现 40 或 50 个这样的条目,每批条目之间间隔 2-5 分钟。文件中其他 1% 的条目似乎涉及 WSUS。
我将删除大部分文件,因为我真的别无选择,但我想知道是什么导致了这种失控的日志记录以及将来如何控制它。
更新:好的,我又检查了几个文件。膨胀显然是由于某人(即我或其他管理员)以交互方式登录 WSUS 时出现错误而导致的:
问题始于一条没有用户名(只有“
-”)的日志条目。它的 HTTP 状态为401.2,sc-win32-status代码为5。接下来是一长串条目,交替显示无用户名和我自己用户名。无用户名的条目的 HTTP 状态为 ,而用户名的条目的 HTTP 状态为
401.1。 有我的用户名的条目是正常的 HTTP条目。sc-win32-status2148074254200
据我所知,似乎发生的情况是,当我通过 SBS 控制台登录以管理 WSUS 时,NTLM 身份验证不会在后台持续存在,导致整个会话期间不断进行重新身份验证尝试,而这对我来说是透明的。每秒都会创建数百个这样的条目,每小时为日志文件添加约 70MB。我不知道为什么会发生这种情况。
答案1
您在那里看到的就是基于 IPv6 的 WSUS 访问。
暂时禁用日志记录以便您不再填充驱动器:
- 进入 IIS 管理器
- 找到 WSUS 网站(它将是监听端口 8530 的网站)
- 调出站点根目录的日志记录属性
- 单击“操作”窗格中的“禁用”。
这将阻止日志的累积。
我不能说我以前见过与 WSUS 相关的流量累积如此大的日志。一天 4.4MB 并不罕见,但一天 1.67GB 意味着出了问题。
昨天的日志文件会告诉你很多有关发生的事情。我很难相信那都是 WSUS 流量。我想知道是不是有其他东西开始对服务器计算机造成影响。从机器上取出那个较大的日志文件并查看它。
您的日志看起来像是 W3C 扩展格式。该日志文件的格式如下:
日期、时间、源 IP 地址、HTTP 请求方法、URI 主干、可能的 URI 查询、服务器端口、用户名、服务器 IP 地址、用户代理、HTTP 结果、可能的 Win32 状态以及可能花费的时间
(“可能”字段是因为如果不查看更多文件,我无法确定。)文件的标题会告诉您确切的格式。
您需要查看那个 1.67GB 的文件——它会告诉您发生了什么。禁用网站上的日志记录将防止硬盘再次填满,但您想知道幕后发生了什么,因为它会以某种方式影响服务器性能。最终,您需要查明原因,然后再次启用日志记录(这样,如果您将来必须再次追踪异常情况,您就有了审计线索)。
答案2
解决方案:
- 关闭 WSUS 管理站点的日志记录。
- 就是这样。
SBS 控制台运行正常。显然,它是为进行大量日志记录而设计的。想想看。
以下是 SBS 博客文章,其中详细介绍了该解决方案:恢复 Small Business Server 2008 中 C: 盘的磁盘空间
以下是 SBS 2008 论坛主题,解释了为什么这是答案:SBS 2008 控制台导致磁盘空间问题(IIS 日志混乱)
我谢谢你。
答案3
WSUS 工作正常吗?您可以尝试运行 WSUS 诊断工具。
答案4
与此相关,您可能需要考虑永久关闭 WSUS 站点的日志记录。虽然这可能对解决 WSUS 问题有用,但您始终可以根据需要将其打开。
话虽如此,我会调查所有日志条目的根本原因并解决该问题,这将使我之前的话变得毫无意义。;)