我分析的时候用了fulleventlogview,这个软件没显示这个事件ID的日志明细,显示的空白,误导我了
FullEventLogView方便是方便,但有些日志它是显示空白,但是Server上是有的,有时候关键信息就是它显示空白的日志而被忽略了
我们可以用FullEventLogView扫个大面,然后在对应的原系统上去打开system.evtx 、application.evtx再搂一遍
不是去原机器,是原系统,比如在原机器收集了日志,但不在原机器排查,拿到外面排查的话,最好放在相同系统上去打开system.evtx 、application.evtx
直接在服务器上打开eventvwr分析才看到:A worker process with process id of '39980' serving application pool 'www.tita.com' has requested a recycle because the worker process reached its allowed processing time limit.
发现规律是29小时,这应该是IIS应用程序池默认的回收时间间隔