none
Processus Powershell "Fantôme" utilise 100% de CPU + Event 600, 400 et 403 nombreux. RRS feed

  • Question

  • Bonjour,

    Je me tourne vers vous pour avoir des piste de recherches concernant des processus powershell.exe qui ce lancent toutes les minutes environ et font monter la charge du serveur à 100% pendant l’exécution de celui-ci. Le processus reste en vie pendant 3 à 4 secondes tous au plus puis ce coupe. A chaque fois le PID du processus change.

    Il n'y a pourtant pas de script powershell planifié sur le serveur et je n'arrive pas à comprendre ce qui lance ces processus et d’où cela vient.

    Je tourne en rond et ne trouve pas d’où cela peut provenir. Dans l'observateur des évènements, je trouve énormément d’événements 600, 400 et 403 toutes les minutes avec cette suite d’événement qui se répète sans fin :

    - Windows PowerShell \ Event 600 > Le fournisseur « WSMan » est Started.
    - Windows PowerShell \ Event 600 > Le fournisseur « Alias » est Started.
    - Windows PowerShell \ Event 600 > Le fournisseur « Environment » est Started.
    - Windows PowerShell \ Event 600 > Le fournisseur « FileSystem » est Started.
    - Windows PowerShell \ Event 600 > Le fournisseur « Function » est Started.
    - Windows PowerShell \ Event 600 > Le fournisseur « Registry » est Started.
    - Windows PowerShell \ Event 600 > Le fournisseur « Variable » est Started.
    - Windows PowerShell \ Event 600 > Le fournisseur « Certificate » est Started.
    - Windows PowerShell \ Event 400 > L'état du moteur passe de None à Available.
    - Windows PowerShell \ Event 403 > L'état du moteur passe de Available à Stopped.

    Tous ceci est peut être un comportement normal mais j'aimerais comprendre ce qui passe.
    Merci à vous de pouvoir m'éclairer sur le sujet.
    lundi 17 septembre 2018 13:38

Réponses

  • Bonjour,

    Je vous suggère si vous ne savez pas trop d'ou ça vien d'utiliser process monitor. Ca va peut être pas être super facile à trouver, mais l'information sur l'emplacement depuis lequel le powershell exécute ces tâches devrait être mentionné. Cette appli trace tous les appels réalisé par le système (file, registry, réseau).

    https://docs.microsoft.com/fr-fr/sysinternals/downloads/procmon

    Je vous conseille de fermer toutes les application que vous n'utilisez pas et dont vous n'avez pas besoin pour vous faciliter la lecture.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    • Marqué comme réponse Nicola5B mercredi 26 septembre 2018 09:07
    mercredi 19 septembre 2018 06:14

Toutes les réponses

  • Bonjour,

    Je vous suggère si vous ne savez pas trop d'ou ça vien d'utiliser process monitor. Ca va peut être pas être super facile à trouver, mais l'information sur l'emplacement depuis lequel le powershell exécute ces tâches devrait être mentionné. Cette appli trace tous les appels réalisé par le système (file, registry, réseau).

    https://docs.microsoft.com/fr-fr/sysinternals/downloads/procmon

    Je vous conseille de fermer toutes les application que vous n'utilisez pas et dont vous n'avez pas besoin pour vous faciliter la lecture.


    Merci de marquer comme reponses les interventions qui vous ont ete utile.

    • Marqué comme réponse Nicola5B mercredi 26 septembre 2018 09:07
    mercredi 19 septembre 2018 06:14
  • Bonjour,

    Merci pour l'outil, c'est impeccable. J'ai pus retrouver d’où venais le lancement de Powershell et y remédier. Pour info, c'était un script oublié qui sert à la supervision via nagios des mises à jours Windows.

    Merci encore pour l'aide.

    Cordialement.

    mercredi 26 septembre 2018 09:07