Запустив корпоративное приложение на Windows Server 2012 R2, система неожиданно стала очень медленной: какая-то огромная нагрузка попала на диск.Более детальная проверка показала, что svchost.exe (LocalServiceNetworkRestricted) постоянно записывает около 25 МБ / с в файл C:\Windows\System32\winevt\Logs\Security.evtx.
В то же время Windows EventLog получает спам от огромного количества сообщений , таких как
Просто остановив наш сервер приложений, мы перестали рассылать спам, но нам нужен этот сервер.Мы откатили все последние изменения кода в корпоративном приложении, но это не решило проблему и не уменьшило нагрузку на Security.evtx.
Мы также проверили, что ребята из инфраструктуры не перенастроили какие-либо настройки на этом сервере, особенно политику аудита.(Последние изменения были сделаны 1 месяц назад).
Проверяя процесс, мы обнаружили, что он постоянно обращается к реестру \HKLM\SYSTEM\Services\EventLog\ и перечисляет все приведенные ниже ключи, они около 800
Затем мы выяснили, что политика аудита настроена таким образом, чтобы регистрировать каждое из этих чтений в EventLog.Отключение политики аудита решило проблему.
Но вопрос в том, : как это могло произойти, если никто не изменил конфигурацию политики аудита?Windows не перезагружалась, в последнее время обновления не устанавливались.Единственное, что было изменено - была развернута последняя версия корпоративного приложения, без изменений в ведении журналов или доступе к реестру.
Это нормально, что такая проверка повторяет все разделы реестра ниже \HKLM \ SYSTEM \ Services \ EventLog \?(Должен упомянуть, этот кусок кода был там целую вечность)