응용 프로그램 이벤트 로그가 계속 손상됩니다

최근 에 손상된 이벤트 로그를 복구하는 방법 에 대해 물었 습니다. 일회성 이벤트 인 것 같습니다. 이벤트 로그는 동일한 동작을 3 번 나타 냈습니다. 우리는 패턴을 찾으려고 노력했지만 지금까지 아무것도 발견하지 못했습니다. 서버는 여러 ASP.NET 응용 프로그램과 .NET으로 작성된 세 가지 예약 된 작업을 실행합니다. 이벤트 로그의 마지막 수정 날짜는 한 번 예약 된 작업 중 하나와 같은 시간 이었지만 다른 날짜는 그렇지 않았습니다.

다음에 볼 위치 또는 손상된 evtx 파일에서 정보를 얻을 수있는 방법에 대한 제안이 있으십니까?

서버가 중요한 전자 상거래 응용 프로그램을 실행 중이므로 필요한 재시작 횟수를 최소한으로 유지하려고합니다.

편집 : DUMPEL을 실행 하고 매우 이상한 결과를 얻었습니다.

1/9/2012    4:14:05 PM  1   100 1000    Application Error       N/A SERVERNAME  Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8  Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58  Exception code: 0xc0000374  Fault offset: 0x000ce653  Faulting process id: 0x1070  Faulting application start time: 0x01cccf1386d30991  Faulting application path: C:\Windows\SysWOW64\inetsrv\w3wp.exe  Faulting module path: C:\Windows\SysWOW64\ntdll.dll  Report Id: dbf4f691-3b06-11e1-9025-005056a602e6  
1/9/2012    4:14:07 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_79d9  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER975.tmp.appcompat.txt  C:\Windows\Temp\WERA03.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WERA13.tmp.hdmp  C:\Windows\Temp\WERD21.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_cd7d09dfc84119d82a2ac6a789038bd5661acfb_cab_128f0e67    Analysis symbol:   Rechecking for solution: 0  Report Id: dbf4f691-3b06-11e1-9025-005056a602e6  Report Status: 4  
1/9/2012    4:14:07 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_79d9  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER975.tmp.appcompat.txt  C:\Windows\Temp\WERA03.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WERA13.tmp.hdmp  C:\Windows\Temp\WERD21.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_cd7d09dfc84119d82a2ac6a789038bd5661acfb_cab_128f0e67    Analysis symbol:   Rechecking for solution: 0  Report Id: dbf4f691-3b06-11e1-9025-005056a602e6  Report Status: 0  
1/9/2012    4:14:12 PM  1   100 1000    Application Error       N/A SERVERNAME  Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8  Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58  Exception code: 0xc0000374  Fault offset: 0x000ce653  Faulting process id: 0x16ac  Faulting application start time: 0x01cccf139f475c0c  Faulting application path: C:\Windows\SysWOW64\inetsrv\w3wp.exe  Faulting module path: C:\Windows\SysWOW64\ntdll.dll  Report Id: e03bae70-3b06-11e1-9025-005056a602e6  
1/9/2012    4:14:16 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER2579.tmp.appcompat.txt  C:\Windows\Temp\WER25F7.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WER25F8.tmp.hdmp  C:\Windows\Temp\WER28F6.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_cab_0b63321b    Analysis symbol:   Rechecking for solution: 0  Report Id: e03bae70-3b06-11e1-9025-005056a602e6  Report Status: 4  
1/9/2012    4:14:16 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:  C:\Windows\Temp\WER2579.tmp.appcompat.txt  C:\Windows\Temp\WER25F7.tmp.WERInternalMetadata.xml  C:\Windows\Temp\WER25F8.tmp.hdmp  C:\Windows\Temp\WER28F6.tmp.mdmp    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_cab_0b63321b    Analysis symbol:   Rechecking for solution: 0  Report Id: e03bae70-3b06-11e1-9025-005056a602e6  Report Status: 0  
1/9/2012    4:14:21 PM  1   100 1000    Application Error       N/A SERVERNAME  Faulting application name: w3wp.exe, version: 7.5.7601.17514, time stamp: 0x4ce7a5f8  Faulting module name: ntdll.dll, version: 6.1.7601.17514, time stamp: 0x4ce7ba58  Exception code: 0xc0000374  Fault offset: 0x000ce653  Faulting process id: 0x17f8  Faulting application start time: 0x01cccf13a4ba5126  Faulting application path: C:\Windows\SysWOW64\inetsrv\w3wp.exe  Faulting module path: C:\Windows\SysWOW64\ntdll.dll  Report Id: e57a0a85-3b06-11e1-9025-005056a602e6  
1/9/2012    4:14:21 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_1cfb4872    Analysis symbol:   Rechecking for solution: 0  Report Id: e57a0a85-3b06-11e1-9025-005056a602e6  Report Status: 4  
1/9/2012    4:14:21 PM  4   0   1001    Windows Error Reporting N/A SERVERNAME  Fault bucket , type 0  Event Name: APPCRASH  Response: Not available  Cab Id: 0    Problem signature:  P1: w3wp.exe  P2: 7.5.7601.17514  P3: 4ce7a5f8  P4: StackHash_9c6c  P5: 6.1.7601.17514  P6: 4ce7ba58  P7: c0000374  P8: 000ce653  P9:   P10:     Attached files:    These files may be available here:  C:\ProgramData\Microsoft\Windows\WER\ReportQueue\AppCrash_w3wp.exe_c49a67649524ad11b64bbf809211bc5ba742a3d6_1cfb4872    Analysis symbol:   Rechecking for solution: 0  Report Id: e57a0a85-3b06-11e1-9025-005056a602e6  Report Status: 0

실제로 참조 된 파일이 없습니다 (WER ReportArchive에도 없음). 이것들이 언급 된 유일한 사건이되어서는 안됩니다. 로그 파일은 1 월 9 일 이후 두 번 삭제되었으므로 해당 이벤트가 전혀 표시되지 않아야합니다.

업데이트 (2016-06-14) :
이 서버가 더 이상 없으므로 더 이상 제안 된 솔루션을 테스트 할 수 없습니다. 우리는 무엇이 잘못되었는지 알지 못했지만 그 이후로 모든 서비스를 새로운 서버로 옮겼습니다.

windows-server-2008-r2 eventviewer

— 야 카츠
소스

첫 번째 단계는 비 생산 환경에서 이것을 시도하고 복제하는 것입니다. 동일한 앱으로 다른 서버를 설정하고 다시 발생하는지 확인하거나 VM 사본을 설정할 수 있습니까?

— Sam Cogan

@ Sam 필요한 리소스를 정리하려고합니다.

— yakatz

해결책을 찾았습니까? 자신의 질문에 답하십시오. 감사합니다

— MacGyver

@Leandro 우리는 해결책을 찾지 못했지만 최근에 그 자체로 일어나지 않는 것 같습니다.

— yakatz

이것이 처음 발생한 이후 앱 풀의 코드가 전혀 변경 되었습니까? dumpel 출력은 앱 풀 중 하나가 충돌하고 오류보고가 MS와 해당 특정 충돌의 상태를 확인하고 있음을 나타냅니다. 앱 풀에 충돌을 일으켰고 수정 된 코드에 잡히지 않은 예외가 있다고 생각합니다.

— Nathan V

이전에 언급되지 않은 것에 놀랐습니다. 파일 시스템을 확인 했습니까? 로컬 디스크이고 가동 중지 시간을 줄이면 chkdsk에 볼륨을 플래그 지정하고 다시 부팅하십시오. 가능하면 표면 스캔을 수행하십시오.

이 작업은 시간이 많이 걸립니다. 특히 큰 (+ 50gb) 볼륨에서. 가능하면 주말에 촬영하십시오.

— 신호 15
소스

실제로 VM이므로 실제 디스크에 액세스 할 수 없습니다.

— yakatz

그것이 VM이라는 사실은 관련이 없습니다. 파일 시스템이 손상되었을 수 있습니다. 다음 가동 중지 시간 / 유지 보수 간격 동안 'chkdsk'를 실행하십시오.

— Signal15

파일 시스템 손상에 문제가있는 것 같습니다. 재부팅하지 않고이를 확인하는 좋은 방법은 다음을 실행하는 것입니다.

sfc /scannow

그리고 많은 수정 또는 오류가 있는지 확인하십시오. 그럴 경우 다음 단계로 chkdsk를 실행하여 파티션을 복구하고 오류를 수정하십시오. 그 후에도 여전히 문제가 발생하면 공급자에게 기본 하드웨어에 대해 문의해야 할 수도 있습니다.

— rtw
소스

이 가상 서버는 더 이상 존재하지 않으므로이 질문으로 새로운 것을 테스트 할 수는 없지만 파일 시스템이 정상이며 sfc이전에 실행 되었으며 오류가 발생하지 않았다는 것을 알고 있습니다.

— yakatz 2016 년