Log Peristiwa Aplikasi terus rusak

8

Baru-baru ini saya bertanya tentang memperbaiki log peristiwa yang korup , karena sepertinya itu hanya peristiwa satu kali. Log peristiwa sejak itu menunjukkan perilaku yang sama 3 kali. Kami telah berusaha menemukan pola, tetapi sejauh ini kami tidak menemukan apa pun. Server menjalankan beberapa aplikasi ASP.NET dan tiga tugas terjadwal ditulis dalam .NET. Tanggal modifikasi terakhir dari log peristiwa pernah terjadi bersamaan dengan salah satu tugas yang dijadwalkan, tetapi yang lain belum.

Adakah saran ke mana harus mencari berikutnya atau cara kita bisa mendapatkan informasi dari file evtx yang rusak?

Server menjalankan aplikasi e-commerce yang penting, jadi kami ingin menjaga jumlah restart yang diperlukan seminimal mungkin.

Sunting: Saya menjalankan DUMPEL dan mendapatkan hasil yang sangat aneh.

1/9/2012    4:14:05 PM  1   100 1000    Application Error       N/A SERVERNAME  Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8  Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58  Exception code: 0xc0000374  Fault offset: 0x000ce653  Faulting process id: 0x1070  Faulting application start time: 0x01cccf1386d30991  Faulting application path: C:\Windows\SysWOW64\inetsrv\w3wp.exe  Faulting module path: C:\Windows\SysWOW64\ntdll.dll  Report Id: dbf4f691-3b06-11e1-9025-005056a602e6  
1/9/2012    4:14:07 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_79d9  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER975.tmp.appcompat.txt  C:\Windows\Temp\WERA03.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WERA13.tmp.hdmp  C:\Windows\Temp\WERD21.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_cd7d09dfc84119d82a2ac6a789038bd5661acfb_cab_128f0e67    Analysis symbol:   Rechecking for solution: 0  Report Id: dbf4f691-3b06-11e1-9025-005056a602e6  Report Status: 4  
1/9/2012    4:14:07 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_79d9  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER975.tmp.appcompat.txt  C:\Windows\Temp\WERA03.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WERA13.tmp.hdmp  C:\Windows\Temp\WERD21.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_cd7d09dfc84119d82a2ac6a789038bd5661acfb_cab_128f0e67    Analysis symbol:   Rechecking for solution: 0  Report Id: dbf4f691-3b06-11e1-9025-005056a602e6  Report Status: 0  
1/9/2012    4:14:12 PM  1   100 1000    Application Error       N/A SERVERNAME  Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8  Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58  Exception code: 0xc0000374  Fault offset: 0x000ce653  Faulting process id: 0x16ac  Faulting application start time: 0x01cccf139f475c0c  Faulting application path: C:\Windows\SysWOW64\inetsrv\w3wp.exe  Faulting module path: C:\Windows\SysWOW64\ntdll.dll  Report Id: e03bae70-3b06-11e1-9025-005056a602e6  
1/9/2012    4:14:16 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER2579.tmp.appcompat.txt  C:\Windows\Temp\WER25F7.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WER25F8.tmp.hdmp  C:\Windows\Temp\WER28F6.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_cab_0b63321b    Analysis symbol:   Rechecking for solution: 0  Report Id: e03bae70-3b06-11e1-9025-005056a602e6  Report Status: 4  
1/9/2012    4:14:16 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER2579.tmp.appcompat.txt  C:\Windows\Temp\WER25F7.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WER25F8.tmp.hdmp  C:\Windows\Temp\WER28F6.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_cab_0b63321b    Analysis symbol:   Rechecking for solution: 0  Report Id: e03bae70-3b06-11e1-9025-005056a602e6  Report Status: 0  
1/9/2012    4:14:21 PM  1   100 1000    Application Error       N/A SERVERNAME  Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8  Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58  Exception code: 0xc0000374  Fault offset: 0x000ce653  Faulting process id: 0x17f8  Faulting application start time: 0x01cccf13a4ba5126  Faulting application path: C:\Windows\SysWOW64\inetsrv\w3wp.exe  Faulting module path: C:\Windows\SysWOW64\ntdll.dll  Report Id: e57a0a85-3b06-11e1-9025-005056a602e6  
1/9/2012    4:14:21 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_1cfb4872    Analysis symbol:   Rechecking for solution: 0  Report Id: e57a0a85-3b06-11e1-9025-005056a602e6  Report Status: 4  
1/9/2012    4:14:21 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_1cfb4872    Analysis symbol:   Rechecking for solution: 0  Report Id: e57a0a85-3b06-11e1-9025-005056a602e6  Report Status: 0

Tak satu pun dari file yang dirujuk benar-benar ada (bahkan di WER ReportArchive). Ini seharusnya bukan satu-satunya peristiwa yang disebutkan. File log telah dihapus dua kali sejak 9 Januari, sehingga peristiwa-peristiwa itu seharusnya tidak terdaftar sama sekali.

Pembaruan (2016-06-14):
Kami tidak memiliki server ini lagi dan karenanya tidak dapat lagi menguji solusi yang diusulkan. Kami tidak pernah menemukan apa yang salah, tetapi kami memindahkan semua layanan kami ke server baru sejak saat itu.

windows-server-2008-r2  eventviewer 
yakatz
sumber
Langkah pertama saya adalah mencoba dan mereplikasi ini di lingkungan non-prod. Bisakah Anda mengatur server lain dengan aplikasi yang sama dan melihat apakah itu terjadi kembali, atau mengatur salinan VM?
Sam Cogan
@ Sam Saya mencoba mencari sumber daya yang diperlukan untuk itu.
yakatz
Apakah Anda menemukan solusinya? tolong jawab pertanyaan anda sendiri. Terima kasih
MacGyver
2
@Leandro kami tidak menemukan solusi, tetapi tampaknya telah berhenti terjadi baru-baru ini sendiri.
yakatz
Apakah kode di kumpulan aplikasi berubah sama sekali sejak ini awalnya terjadi? Keluaran dumpel menunjukkan bahwa salah satu kumpulan aplikasi Anda macet dan pelaporan kesalahan sedang memeriksa dengan MS untuk status pada kecelakaan itu. Saya kira ada pengecualian yang tidak tertangkap dalam kode yang menabrak kumpulan aplikasi dan telah diperbaiki.
Nathan V

Jawaban:

1

Terkejut ini belum disebutkan sebelumnya; Sudahkah Anda memverifikasi sistem file? Jika ini adalah disk lokal, dan Anda dapat menyedot downtime, tandai volume untuk chkdsk dan reboot. Lakukan pemindaian permukaan jika memungkinkan.

Perhatikan bahwa ini akan sangat memakan waktu. Terutama pada volume besar (+ 50gb). Bidik untuk akhir pekan jika memungkinkan.

Sinyal15
sumber
Ini sebenarnya adalah VM, jadi kami tidak memiliki akses ke disk fisik.
yakatz
4
Kenyataannya itu adalah VM tidak relevan. Anda mungkin mengalami kerusakan sistem file. Jalankan 'chkdsk' selama interval downtime / pemeliharaan berikutnya.
Signal15
0

Kedengarannya seperti Anda mungkin memiliki masalah dengan korupsi filesystem - cara yang baik untuk memeriksa ini tanpa harus reboot adalah dengan menjalankan:

sfc /scannow

Dan lihat apakah Anda mendapatkan banyak koreksi atau kesalahan. Jika Anda melakukannya, langkah terbaik berikutnya adalah reboot untuk menjalankan chkdsk untuk memperbaiki partisi Anda dan memperbaiki kesalahan di dalamnya. Setelah itu, jika Anda masih mengalami masalah, Anda mungkin perlu berbicara dengan penyedia Anda tentang perangkat keras yang mendasarinya.

rtw
sumber
Server virtual ini tidak ada lagi sehingga saya tidak dapat menguji sesuatu yang baru dengan pertanyaan ini, tetapi saya tahu sistem file baik-baik saja dan kami telah menjalankan sfcsebelumnya dan tidak mendapatkan kesalahan.
yakatz
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.