Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   Как правильно анализировать логи? (http://forum.oszone.net/showthread.php?t=275197)

hozman 04-01-2014 23:16 2283114
Как правильно анализировать логи?
 
У меня пару дней в подряд как начала появляться какая-то странная ошибка. Вылазит спонтанно, а потом я её закрываю и всё работает как работало. Я полез в журнал. Капанул в этом направлении и решил понять что её вызывает. Вот окно лога системного:



Возник вопрос. Как понимать эту информацию? Каков порядок действий, чтоб понять, чем вызвана данная ошибка?
Меня удивило то, что: Пользователь: Н/Д
Про приложение gmafsyvbotzmrxcrxcpuavbgvjgthmrx.com я понятия не имею.

А вот подробный лог данного события:
PHP код:
Имя журнала:   Application
Источник:      Application Error
Дата:          04.01.2014 15:40:45
Код события:   1000
Категория задачи:(100)
Уровень:       Ошибка
Ключевые слова:Классический
Пользователь:  Н/Д
Компьютер:     Server
Описание:
Имя сбойного приложенияgmafsyvbotzmrxcrxcpuavbgvjgthmrx.comверсия1.6.2.3отметка времени0x5169ba35
Имя сбойного модуляunknownверсия0.0.0.0отметка времени 0x00000000
Код исключения0xc0000005
Смещение ошибки0x002200c0
Идентификатор сбойного процесса0x6f8
Время запуска сбойного приложения0x01cf094a2ffa67be
Путь сбойного приложенияC:Users836D~1AppDataLocalTemp3gmafsyvbotzmrxcrxcpuavbgvjgthmrx.com
Путь сбойного модуляunknown
Код отчета6df9b75e-753d-11e3-a338-94de80676a7f
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Application Error" />
    <EventID Qualifiers="0">1000</EventID>
    <Level>2</Level>
    <Task>100</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2014-01-04T12:40:45.000000000Z" />
    <EventRecordID>1967</EventRecordID>
    <Channel>Application</Channel>
    <Computer>Server</Computer>
    <Security />
  </System>
  <EventData>
    <Data>gmafsyvbotzmrxcrxcpuavbgvjgthmrx.com</Data>
    <Data>1.6.2.3</Data>
    <Data>5169ba35</Data>
    <Data>unknown</Data>
    <Data>0.0.0.0</Data>
    <Data>00000000</Data>
    <Data>c0000005</Data>
    <Data>002200c0</Data>
    <Data>6f8</Data>
    <Data>01cf094a2ffa67be</Data>
    <Data>C:Users836D~1AppDataLocalTemp3gmafsyvbotzmrxcrxcpuavbgvjgthmrx.com</Data>
    <Data>unknown</Data>
    <Data>6df9b75e-753d-11e3-a338-94de80676a7f</Data>
  </EventData>
</Event

exo 04-01-2014 23:31 2283121
Цитата:
Цитата hozman
Путь сбойного приложения: C:Users836D~1AppDataLocalTemp3gmafsyvbotzmrxcrxcpuavbgvjgthmrx.com »
на вирусы проверьтесь. приложение пытается запустится из папки TEMP.
Цитата:
Цитата hozman
Каков порядок действий, чтоб понять, чем вызвана данная ошибка? »
порядок действий примерно таков:
Цитата:
Цитата hozman
Код события: 1000 »
код события ищется в центре ошибок Event Id.
если там нет, можно искать на другом ресурсе.
обычно этого достаточно для устранения приложений и служб от Microsoft.
если "падает" не-microsoft приложение, то:
Цитата:
Цитата hozman
Имя сбойного приложения: gmafsyvbotzmrxcrxcpuavbgvjgthmrx.com, версия: 1.6.2.3, отметка времени: 0x5169ba35
Имя сбойного модуля: unknown, версия: 0.0.0.0, отметка времени 0x00000000
Код исключения: 0xc0000005
Смещение ошибки: 0x002200c0 »
что-либо из этого гуглится. Обычно достаточно: Имя сбойного приложения: gmafsyvbotzmrxcrxcpuavbgvjgthmrx.com, версия: 1.6.2.3 Код исключения: 0xc0000005

hozman 04-01-2014 23:37 2283127
Какой антивирус посоветуете для сервера?

exo 04-01-2014 23:43 2283132
Цитата:
Цитата hozman
Какой антивирус посоветуете для сервера? »
в вашем случае: Software Restriction Policies
для проверки подойдёт любой (ибо платные имеют пробный период, вам этого хватит).
Сам пользуюсь NOD32. И только антивирус без всякого остального.
И обычно, на сервере не ставят антивирус - его ставят на клиентах. Исключением разве что, может быть сервер терминалов с доступом к сети интернет.

hozman 05-01-2014 00:14 2283144
Цитата:
Цитата exo
И обычно, на сервере не ставят антивирус - его ставят на клиентах. »
Это ещё почему? Я вот не ставил сам, но какая-то хрень же появилась и пытается что-то запустить..

Цитата:
Цитата exo
Исключением разве что, может быть сервер терминалов с доступом к сети интернет »
У меня как-раз и есть сервер клиентских терминалов. Тока интернет ещё не подключил. Руки не дотянулись.

exo 05-01-2014 00:21 2283149
Цитата:
Цитата hozman
Я вот не ставил сам, но какая-то хрень же появилась и пытается что-то запустить.. »
потому, что на сервере не должно быть пользователей, которые могу занести на сервер всякую заразу.
если же пользователи присутствую на таком сервере (например, терминальный сервер) то настраивается SRP, UAC включен и антивирус, который вам нравится.
Осуждения антивирусов вы найдёте в других темах. Но не один антивирус не помогает от трояна "кривые руки".


Время: 21:12.

Время: 21:12.
© OSzone.net 2001-