Nhật ký sự kiện ứng dụng tiếp tục bị hỏng

8

Gần đây tôi đã hỏi về việc sửa chữa một bản ghi sự kiện bị hỏng , bởi vì nó dường như là một sự kiện một lần. Nhật ký sự kiện đã thể hiện hành vi tương tự 3 lần. Chúng tôi đã cố gắng tìm các mẫu, nhưng cho đến nay chúng tôi không tìm thấy gì. Máy chủ chạy một số ứng dụng ASP.NET và ba tác vụ theo lịch trình được viết bằng .NET. Ngày sửa đổi cuối cùng của nhật ký sự kiện đã từng xảy ra cùng thời điểm với một trong những nhiệm vụ được lên lịch, nhưng các nhiệm vụ khác thì không.

Bất kỳ đề xuất về nơi để tìm tiếp theo hoặc một cách chúng ta có thể nhận được bất kỳ thông tin nào từ một tập tin evtx bị hỏng?

Máy chủ đang chạy các ứng dụng thương mại điện tử quan trọng, vì vậy chúng tôi muốn giữ số lượng khởi động lại được yêu cầu ở mức tối thiểu.

Chỉnh sửa: Tôi đã chạy DUMPEL và nhận được kết quả rất lạ.

1/9/2012    4:14:05 PM  1   100 1000    Application Error       N/A SERVERNAME  Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8  Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58  Exception code: 0xc0000374  Fault offset: 0x000ce653  Faulting process id: 0x1070  Faulting application start time: 0x01cccf1386d30991  Faulting application path: C:\Windows\SysWOW64\inetsrv\w3wp.exe  Faulting module path: C:\Windows\SysWOW64\ntdll.dll  Report Id: dbf4f691-3b06-11e1-9025-005056a602e6  
1/9/2012    4:14:07 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_79d9  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER975.tmp.appcompat.txt  C:\Windows\Temp\WERA03.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WERA13.tmp.hdmp  C:\Windows\Temp\WERD21.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_cd7d09dfc84119d82a2ac6a789038bd5661acfb_cab_128f0e67    Analysis symbol:   Rechecking for solution: 0  Report Id: dbf4f691-3b06-11e1-9025-005056a602e6  Report Status: 4  
1/9/2012    4:14:07 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_79d9  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER975.tmp.appcompat.txt  C:\Windows\Temp\WERA03.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WERA13.tmp.hdmp  C:\Windows\Temp\WERD21.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_cd7d09dfc84119d82a2ac6a789038bd5661acfb_cab_128f0e67    Analysis symbol:   Rechecking for solution: 0  Report Id: dbf4f691-3b06-11e1-9025-005056a602e6  Report Status: 0  
1/9/2012    4:14:12 PM  1   100 1000    Application Error       N/A SERVERNAME  Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8  Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58  Exception code: 0xc0000374  Fault offset: 0x000ce653  Faulting process id: 0x16ac  Faulting application start time: 0x01cccf139f475c0c  Faulting application path: C:\Windows\SysWOW64\inetsrv\w3wp.exe  Faulting module path: C:\Windows\SysWOW64\ntdll.dll  Report Id: e03bae70-3b06-11e1-9025-005056a602e6  
1/9/2012    4:14:16 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER2579.tmp.appcompat.txt  C:\Windows\Temp\WER25F7.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WER25F8.tmp.hdmp  C:\Windows\Temp\WER28F6.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_cab_0b63321b    Analysis symbol:   Rechecking for solution: 0  Report Id: e03bae70-3b06-11e1-9025-005056a602e6  Report Status: 4  
1/9/2012    4:14:16 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER2579.tmp.appcompat.txt  C:\Windows\Temp\WER25F7.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WER25F8.tmp.hdmp  C:\Windows\Temp\WER28F6.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_cab_0b63321b    Analysis symbol:   Rechecking for solution: 0  Report Id: e03bae70-3b06-11e1-9025-005056a602e6  Report Status: 0  
1/9/2012    4:14:21 PM  1   100 1000    Application Error       N/A SERVERNAME  Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8  Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58  Exception code: 0xc0000374  Fault offset: 0x000ce653  Faulting process id: 0x17f8  Faulting application start time: 0x01cccf13a4ba5126  Faulting application path: C:\Windows\SysWOW64\inetsrv\w3wp.exe  Faulting module path: C:\Windows\SysWOW64\ntdll.dll  Report Id: e57a0a85-3b06-11e1-9025-005056a602e6  
1/9/2012    4:14:21 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_1cfb4872    Analysis symbol:   Rechecking for solution: 0  Report Id: e57a0a85-3b06-11e1-9025-005056a602e6  Report Status: 4  
1/9/2012    4:14:21 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_1cfb4872    Analysis symbol:   Rechecking for solution: 0  Report Id: e57a0a85-3b06-11e1-9025-005056a602e6  Report Status: 0

Không có tệp nào được tham chiếu thực sự tồn tại (ngay cả trong WER ReportArchive). Đây không nên là sự kiện duy nhất được đề cập. Tệp nhật ký đã bị xóa hai lần kể từ ngày 9 tháng 1, vì vậy những sự kiện đó thậm chí không được liệt kê.

Cập nhật (2016-06-14):
Chúng tôi không có máy chủ này nữa và do đó không thể kiểm tra các giải pháp được đề xuất nữa. Chúng tôi chưa bao giờ phát hiện ra điều gì sai, nhưng chúng tôi đã chuyển tất cả các dịch vụ của mình sang các máy chủ mới kể từ đó.

windows-server-2008-r2  eventviewer 
yakatz
nguồn
Bước đầu tiên của tôi sẽ là thử và tái tạo điều này trong một môi trường không prod. Bạn có thể thiết lập một máy chủ khác có cùng ứng dụng và xem liệu nó có xảy ra lại hay thiết lập bản sao VM không?
Sam Cogan
@Sam Tôi đang cố gắng thu thập các tài nguyên cần thiết cho việc đó.
yakatz
Bạn đã tìm thấy một giải pháp? xin vui lòng trả lời quesiton của riêng bạn. Cảm ơn
MacGyver
2
@Leandro chúng tôi không tìm thấy giải pháp, nhưng dường như nó đã ngừng xảy ra gần đây.
yakatz
Mã trong nhóm ứng dụng có thay đổi gì không vì điều này ban đầu xảy ra? Đầu ra dumpel cho thấy rằng một trong các nhóm ứng dụng của bạn đã bị sập và báo cáo lỗi đang kiểm tra với MS về trạng thái của sự cố cụ thể đó. Tôi đoán có một ngoại lệ chưa được phát hiện trong mã đã làm sập nhóm ứng dụng và nó đã được sửa.
Nathan V

Câu trả lời:

1

Ngạc nhiên điều này đã không được đề cập trước đó; Bạn đã xác minh hệ thống tập tin? Nếu đó là đĩa cục bộ và bạn có thể xử lý thời gian chết, hãy gắn cờ âm lượng cho chkdsk và khởi động lại. Thực hiện quét bề mặt nếu có thể.

Lưu ý rằng điều này sẽ rất tốn thời gian. Đặc biệt là trên một dung lượng lớn (+ 50gb). Chụp cho một ngày cuối tuần nếu có thể.

Tín hiệu15
nguồn
Nó thực sự là một VM, vì vậy chúng tôi không có quyền truy cập vào đĩa vật lý.
yakatz
4
Thực tế đó là một VM không liên quan. Bạn có thể có tham nhũng hệ thống tập tin. Chạy một 'chkdsk' trong khoảng thời gian ngừng hoạt động / bảo trì tiếp theo của bạn.
Tín hiệu 15
0

Âm thanh như bạn có thể có vấn đề với tham nhũng hệ thống tập tin - một cách tốt để kiểm tra điều này mà không phải khởi động lại là chạy:

sfc /scannow

Và xem nếu bạn nhận được vô số sửa chữa hoặc lỗi. Nếu bạn làm như vậy, bước tiếp theo tốt nhất là khởi động lại để chạy chkdsk để sửa chữa các phân vùng của bạn và sửa bất kỳ lỗi nào trong đó. Sau đó, nếu bạn vẫn gặp sự cố, bạn có thể cần nói chuyện với nhà cung cấp về phần cứng cơ bản.

rtw
nguồn
Máy chủ ảo này không còn tồn tại nữa nên tôi không thể kiểm tra bất cứ điều gì mới với câu hỏi này, nhưng tôi biết hệ thống tập tin vẫn ổn và chúng tôi đã chạy sfctrước đó và không gặp phải bất kỳ lỗi nào.
yakatz
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.