イベント ビューアーのシステムログを見ると、その症状が発生した前後に「Windows Error Reporting Service サービスは 停止 状態に移行しました。」という反応が記録されている(ソース:Service Control Manager / イベントID:7036)ので、おそらくサーバの過負荷が発生した(ので、Reporting Service サービスは 停止したのではないか?)と考えています。
そこで、原因を過去にさかのぼって証拠を突き止めていきたいのですが、何の記録を参照していけばいいのでしょうか?
過負荷を推測する根拠として、症状が発生した「Windows Error Reporting Service サービスは…」が記録された辺りにおいて、リモートデスクトップを開いていたのですが、タスクマネージャーの物理メモリは99%を記録し、各種操作も激遅になっていました。
恐らく数日前からネットワークアクセスが気になって稼動させ続けていた「Microsoft Network Monitor 3.4」が原因だと思うのですが、それを示す証拠の出し方が分かりません。
よろしくお願い致します。
過負荷で Windows Error Reporting Service が落ちるという事象は聞いたことがありませんし、このサービスがダウンしていると原因を調べるのは困難です。
状況がわからないのですが、リモートデスクトップによってサーバをダウンさせたと考えるのが普通ではないでしょうか?
数日前からネットワークアクセスが気になって稼動させ続けていた
そのサーバは外部インターネットからアクセスを許可しているのですか?
その場合、外部からのリモートデスクトップを許可させている(つまり外部からポートスキャンまたはアタック攻撃を受けている)ということはありませんか?
deflationさんありがとうございます。
確かにググってた際に、リモートデスクトップがどうのこうのという記載を見つけていましたが
リモートデスクトップと、Windows Error Reporting Serviceのダウンにおける関連性が分からなくて
保留にしていました。
> そのサーバは外部インターネットからアクセスを許可しているのですか?
はい、外部からアクセスできるメールサーバを立てています。
昨日の早朝に、香港方面?からスキャンされている形跡がありました。
しかし、問題のスキャンは、メールサーバのログによると、昨日の午前10時に終了しており、システムがダウンしたのは昨日の夕方ごろの話なので違うかな?と考えています。
よろしくお願いします。