Le journal des événements d'application continue d'être corrompu

8

J'ai récemment posé des questions sur la réparation d'un journal des événements corrompu , car il semblait s'agir d'un événement ponctuel. Le journal des événements a depuis montré le même comportement 3 fois. Nous avons essayé de trouver des modèles, mais jusqu'à présent, nous n'avons rien trouvé. Le serveur exécute plusieurs applications ASP.NET et trois tâches planifiées écrites en .NET. Une fois, la dernière date de modification du journal des événements était identique à l'une des tâches planifiées, mais les autres ne l'ont pas été.

Avez-vous des suggestions où chercher ensuite ou comment obtenir des informations d'un fichier evtx corrompu?

Le serveur exécute des applications de commerce électronique essentielles, nous souhaitons donc limiter au minimum le nombre de redémarrages requis.

Edit: j'ai couru DUMPEL et obtenu des résultats très étranges.

1/9/2012    4:14:05 PM  1   100 1000    Application Error       N/A SERVERNAME  Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8  Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58  Exception code: 0xc0000374  Fault offset: 0x000ce653  Faulting process id: 0x1070  Faulting application start time: 0x01cccf1386d30991  Faulting application path: C:\Windows\SysWOW64\inetsrv\w3wp.exe  Faulting module path: C:\Windows\SysWOW64\ntdll.dll  Report Id: dbf4f691-3b06-11e1-9025-005056a602e6  
1/9/2012    4:14:07 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_79d9  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER975.tmp.appcompat.txt  C:\Windows\Temp\WERA03.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WERA13.tmp.hdmp  C:\Windows\Temp\WERD21.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_cd7d09dfc84119d82a2ac6a789038bd5661acfb_cab_128f0e67    Analysis symbol:   Rechecking for solution: 0  Report Id: dbf4f691-3b06-11e1-9025-005056a602e6  Report Status: 4  
1/9/2012    4:14:07 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_79d9  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER975.tmp.appcompat.txt  C:\Windows\Temp\WERA03.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WERA13.tmp.hdmp  C:\Windows\Temp\WERD21.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_cd7d09dfc84119d82a2ac6a789038bd5661acfb_cab_128f0e67    Analysis symbol:   Rechecking for solution: 0  Report Id: dbf4f691-3b06-11e1-9025-005056a602e6  Report Status: 0  
1/9/2012    4:14:12 PM  1   100 1000    Application Error       N/A SERVERNAME  Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8  Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58  Exception code: 0xc0000374  Fault offset: 0x000ce653  Faulting process id: 0x16ac  Faulting application start time: 0x01cccf139f475c0c  Faulting application path: C:\Windows\SysWOW64\inetsrv\w3wp.exe  Faulting module path: C:\Windows\SysWOW64\ntdll.dll  Report Id: e03bae70-3b06-11e1-9025-005056a602e6  
1/9/2012    4:14:16 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER2579.tmp.appcompat.txt  C:\Windows\Temp\WER25F7.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WER25F8.tmp.hdmp  C:\Windows\Temp\WER28F6.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_cab_0b63321b    Analysis symbol:   Rechecking for solution: 0  Report Id: e03bae70-3b06-11e1-9025-005056a602e6  Report Status: 4  
1/9/2012    4:14:16 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER2579.tmp.appcompat.txt  C:\Windows\Temp\WER25F7.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WER25F8.tmp.hdmp  C:\Windows\Temp\WER28F6.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_cab_0b63321b    Analysis symbol:   Rechecking for solution: 0  Report Id: e03bae70-3b06-11e1-9025-005056a602e6  Report Status: 0  
1/9/2012    4:14:21 PM  1   100 1000    Application Error       N/A SERVERNAME  Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8  Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58  Exception code: 0xc0000374  Fault offset: 0x000ce653  Faulting process id: 0x17f8  Faulting application start time: 0x01cccf13a4ba5126  Faulting application path: C:\Windows\SysWOW64\inetsrv\w3wp.exe  Faulting module path: C:\Windows\SysWOW64\ntdll.dll  Report Id: e57a0a85-3b06-11e1-9025-005056a602e6  
1/9/2012    4:14:21 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_1cfb4872    Analysis symbol:   Rechecking for solution: 0  Report Id: e57a0a85-3b06-11e1-9025-005056a602e6  Report Status: 4  
1/9/2012    4:14:21 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_1cfb4872    Analysis symbol:   Rechecking for solution: 0  Report Id: e57a0a85-3b06-11e1-9025-005056a602e6  Report Status: 0  

Aucun des fichiers référencés n'existe réellement (pas même dans WER ReportArchive). Ce ne devraient pas être les seuls événements mentionnés. Le fichier journal a été effacé deux fois depuis le 9 janvier, de sorte que ces événements ne devraient même pas être répertoriés du tout.

Mise à jour (2016-06-14):
Nous n'avons plus ce serveur et ne pouvons donc plus tester les solutions proposées. Nous n'avons jamais découvert ce qui n'allait pas, mais nous avons depuis déplacé tous nos services sur de nouveaux serveurs.

yakatz
la source
Ma première étape serait d'essayer de reproduire cela dans un environnement non prod. Pouvez-vous configurer un autre serveur avec les mêmes applications et voir si cela se reproduit, ou configurer une copie de machine virtuelle?
Sam Cogan
@Sam J'essaie de trouver les ressources nécessaires pour cela.
yakatz
Avez-vous trouvé une solution? veuillez répondre à votre propre question. Merci
MacGyver
2
@Leandro, nous n'avons pas trouvé de solution, mais elle semble avoir cessé de se produire récemment d'elle-même.
yakatz
Le code dans le pool d'applications a-t-il changé du tout depuis que cela s'est produit à l'origine? La sortie dumpel suggère que l'un de vos pools d'applications se bloquait et que le rapport d'erreurs vérifiait auprès de MS l'état de ce crash particulier. Je suppose qu'il y avait une exception non capturée dans le code qui plantait le pool d'applications et qu'il a été corrigé.
Nathan V

Réponses:

1

Surpris, cela n'a pas été mentionné auparavant; Avez-vous vérifié le système de fichiers? S'il s'agit d'un disque local et que vous pouvez éliminer le temps d'arrêt, marquez le volume pour un chkdsk et redémarrez. Faites un scan de surface si possible.

Notez que cela prendra beaucoup de temps. Surtout sur un gros volume (+ 50 Go). Tirez pour un week-end si possible.

Signal15
la source
Il s'agit en fait d'une machine virtuelle, nous n'avons donc pas accès au disque physique.
yakatz
4
Le fait qu'il s'agisse d'une machine virtuelle n'est pas pertinent. Vous pouvez avoir une corruption du système de fichiers. Exécutez un «chkdsk» lors de votre prochain arrêt / maintenance.
Signal15
0

Il semble que vous ayez un problème avec la corruption du système de fichiers - un bon moyen de vérifier cela sans avoir à redémarrer est d'exécuter:

sfc /scannow

Et voyez si vous obtenez une multitude de corrections ou d'erreurs. Si vous le faites, la meilleure étape suivante consiste à redémarrer pour exécuter un chkdsk pour réparer vos partitions et corriger les erreurs qui s'y trouvent. Après cela, si vous rencontrez toujours des problèmes, vous devrez peut-être parler à votre fournisseur du matériel sous-jacent.

rtw
la source
Ce serveur virtuel n'existe plus, donc je ne peux rien tester de nouveau avec cette question, mais je sais que le système de fichiers était OK et nous avions couru sfcavant et n'avions eu aucune erreur.
yakatz