在Windows Server 2012 R2上运行企业应用程序时,系统突然变得非常缓慢:一些巨大的负载正在撞击磁盘。更深入的检查表明svchost.exe(LocalServiceNetworkRestricted)不断以每秒25Mb的速度写入
C:\Windows\System32\winevt\Logs\Security.evtx个文件。
同时,Windows EventLog被大量消息like this
仅停止我们的应用程序服务器,确实可以阻止垃圾邮件,但是我们需要运行该服务器。我们已经回滚了企业应用程序中所有最新的代码更改,但是它没有解决问题,也没有减少Security.evtx上的负载。
我们还检查了基础架构人员是否没有重新配置此服务器上的任何设置,尤其是审核策略。 (最后一次更改是1个月前)。
检查该过程,我们发现它不断转向注册表\HKLM\SYSTEM\Services\EventLog\,并列举了下面的所有键they're around 800
然后,我们发现这是对审核策略进行配置的一种方式,可以将所有这些读取记录到EventLog中。禁用审核策略可以解决该问题。
但是问题是:如果没有人更改审核策略配置,怎么办? Windows没有重新启动,最近没有安装任何更新。唯一的更改是-部署了企业应用程序的最新版本,日志记录或注册表访问没有更改。
such checking遍历\ HKLM \ SYSTEM \ Services \ EventLog \下的所有注册表项是否正常? (不得不提的是,这段代码存在了很长时间)
