C# EventLog security.evtx垃圾邮件是如何发生的？_C#_.net_Registry_Event Log_Custom Eventlog

C# EventLog security.evtx垃圾邮件是如何发生的？

c# .net

C# EventLog security.evtx垃圾邮件是如何发生的？,c#,.net,registry,event-log,custom-eventlog,C#,.net,Registry,Event Log,Custom Eventlog,在Windows Server 2012 R2上运行企业应用程序时，系统突然变得非常缓慢：一些巨大的负载冲击了磁盘。更深入的检查表明，svchost.exe（LocalServiceNetworkRestricted）不断地以每秒25Mb左右的速度写入数据 C:\Windows\System32\winevt\Logs\Security.evtx文件。同时，Windows事件日志被大量的消息垃圾发送简单地停止我们的应用服务器，确实停止了垃圾邮件，但我们需要该服务器运行。我们已经回滚了企业应用

在Windows Server 2012 R2上运行企业应用程序时，系统突然变得非常缓慢：一些巨大的负载冲击了磁盘。更深入的检查表明，svchost.exe（LocalServiceNetworkRestricted）不断地以每秒25Mb左右的速度写入数据

C:\Windows\System32\winevt\Logs\Security.evtx

文件。
同时，Windows事件日志被大量的消息垃圾发送

简单地停止我们的应用服务器，确实停止了垃圾邮件，但我们需要该服务器运行。我们已经回滚了企业应用程序中所有最新的代码更改，但它没有解决问题，也没有减少

Security.evtx

上的负载

我们还检查了基础设施人员没有重新配置此服务器上的任何设置，特别是审核策略。（上次更改是在1个月前）

检查该过程时，我们发现它不断地转到注册表

\HKLM\SYSTEM\Services\EventLog\

，并枚举下面的所有键

然后我们发现审计策略的配置方式是将每次读取记录到EventLog。禁用审核策略解决了此问题

但问题是：如果没有人更改审核策略配置，这怎么可能发生？Windows没有重新启动，最近没有安装更新。唯一的改变是部署了最新版本的企业应用程序，日志记录或注册表访问没有改变

在\HKLM\SYSTEM\Services\EventLog\下面的所有注册表项中进行迭代是否正常？（必须提到的是，这段代码已经存在很久了）