IIS日志分析及故障處理

如果你是一個站長，一定對iis非常的了解，iis是windows系統(tǒng)下建設web最常用的一個組件，今天就和大家一起來分享一下我平時維護web服務器時的一些心得吧，其實iis有一個最好的功能就是日志功能了，這樣我們可以看到每個用戶訪問網(wǎng)站的情況，從而順藤摸瓜找到問題所在。

前幾個月有臺重要的Web服務器(Windows Server2003 + IIS6.0)出現(xiàn)客戶端無法訪問Web服務器上的站點，錯誤信息提示為"頁面無法顯示"的情況。登錄服務器檢查后發(fā)現(xiàn)IIS并未停止運行，各服務也正常處理，但就是無法訪問站點上的頁面（包括靜態(tài)頁面）。這種問題其實以前也經(jīng)常發(fā)生，基本上處理方法都是通過重啟Web服務器來解決，至于為什么要這樣處理，并沒有具體的論斷和依據(jù)，多半是憑借個人的經(jīng)驗所致，所以這種解決方法只能緩解下投訴壓力，沒有從根本上解決問題。

那么，我們現(xiàn)在就來針對這個問題深入探討下，找出問題的根本，爭取做到治標治本。

首先，肯定是分析問題服務器上的IIS日志，我發(fā)現(xiàn)在站點無法訪問的那段時間， httperr日志中記錄了大量的"Connections_Refused"錯誤

這個問題是在默認情況下，如果可用的非分頁緩沖池內(nèi)存不足 20MB，Http.sys 服務將停止接收新連接，就會出現(xiàn)上述問題。這也就解釋了為什么重啟IIS沒用，只能通過重啟Web服務器釋放內(nèi)存資源來解決。

網(wǎng)上也有微軟官方的解決方案：

1. 進入注冊表，找到如下項：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters ；

2. 新建Dword值，輸入名稱 "EnableAggressiveMemoryUsage"；

3. 修改值為1；

4. 重啟 HTTP 服務：

在DOS下分別執(zhí)行

net stop http /y

iisreset /restart

我按照上述說明進行了配置，但有沒有效果無法考證，只能先觀察這臺服務器后續(xù)的運行情況。這種處理方法比之前重啟Web服務器更進了一步，至少比之前盲目的重啟重啟重啟，更明確的知道了引起問題的原因，離真相更近了一步。那么問題發(fā)生的真正原因呢？究竟是什么導致的非分頁緩沖池內(nèi)存會持續(xù)增大到少于20M的呢？

要分析這個問題，首先得了解下Windows系統(tǒng)中的核心內(nèi)存概念：核心內(nèi)存是Windows分配給系統(tǒng)內(nèi)核或驅(qū)動所需的內(nèi)存空間，分頁內(nèi)存是虛擬內(nèi)存，也就是這一部分內(nèi)存可以置換到硬盤中，但是，非分頁內(nèi)存是不能置換到硬盤的，只能保存在物理內(nèi)存中，常用于一些軟件或是系統(tǒng)的驅(qū)動程序使用。如果未分頁內(nèi)存無限增大，到達一個閥值，就會造成系統(tǒng)問題。在32位的Windows上，這個閥值最高不能超過256MB，否則操作系統(tǒng)會變得非常不穩(wěn)定。

打開自己系統(tǒng)的任務管理器，在"性能"項中，可以看到：

如上圖所示，這就是我本機當前時刻所使用的分頁和未分頁內(nèi)存數(shù)，這個數(shù)字很正常。

我們再來看下最近這臺有問題的機器連續(xù)2天，2次出現(xiàn)故障時的內(nèi)存使用數(shù)，未分頁內(nèi)存已經(jīng)不知不覺暴漲到230多M了

好了，廢話不多說，這個時候就需要用到Poolmon這個核心內(nèi)存泄漏檢測工具了。通過這個工具，我們來看看Web服務器上到底是哪些軟件或者程序造成內(nèi)存泄露，從而導致未分頁內(nèi)存數(shù)不足的。Poolmon是類似于Dos 的命令行執(zhí)行程序，基本上完成檢測的操作我們只需要2個指令： P-排序標簽列表通過分頁，非分頁，混合等3種模式；B-對標簽排序最大字節(jié)使用情況。如下圖所示：顯示的就是操作系統(tǒng)中所有占用非分頁內(nèi)存項，并按字節(jié)大小降序排列。我們找出排在前面，并且字節(jié)數(shù)不斷增加的tag項，根據(jù)Tag來定位進程和驅(qū)動文件。比如我們想看下目前占用90M非分頁內(nèi)存的Thre項，在Dos中輸入:

findstr /s /m /l "Thre" c:\windows\system32\drivers\*.sys

如上圖所示，我們看到是系統(tǒng)驅(qū)動和殺毒驅(qū)動占用了Thre。這臺機器上次中過毒，所以后來下了瑞星和360衛(wèi)士來排毒。瑞星是出了名的耗未分頁內(nèi)存大戶，360衛(wèi)士本身也已經(jīng)被病毒感染，所以我基本鎖定了這2款軟件，先卸載，然后重啟服務器，重新下載360衛(wèi)士和360殺毒再次排毒之后觀察服務器運行情況和內(nèi)存消耗情況。從上次重啟到目前為止，運行十多天，未分頁內(nèi)存總消耗保持在50M以內(nèi)，雖有小許增長，但還算正常。到此，根據(jù)上面的分析， 我們就可以定位出導致IIS故障的真正問題所在了。這種問題，很大部分是因為殺毒軟件程序或者一些系統(tǒng)驅(qū)動導致的。

這里說的很大部分原因是因為殺毒軟件程序或者一些系統(tǒng)驅(qū)動導致的非分頁內(nèi)存不足，是因為非分頁內(nèi)存一般是內(nèi)核程序或驅(qū)動程序在請求。這種資源非常寶貴，如果程序處理不當?shù)脑�，也會導致上述情況，比如一個Socket只接受連接，但因為某些原因沒有讀取數(shù)據(jù)，然后客戶端連接上之后一直發(fā)送數(shù)據(jù)，在這種極端的情況下未分頁內(nèi)存也很快就會被占滿。