Заголовок записи, конечно, убивает всю интригу, но уж как есть.

Суть такова. Есть несколько принт-серверов, которые есть не просят, просто выполняют свою работу. И на одном из них вдруг на несистемном диске заканчивается место. Почти в ноль. 5 Гб из 50 свободно. Лезу на этот сервер, смотрю на тот диск, и ничего не понимаю: три папки - корзина, SVI и папка драйверов. Показ системных файлов включен. Показ скрытых файлов включен. Корзина пуста, что под моим аккаунтом, что под всеми остальными (проверили). SVI пуст, ради проверки аж в наглую выдал себе права на просмотр этого каталога. Папка с драйверами - 3 Гб.

Куда делось место?

Параллельно с этим нужно было тот принт-сервер обновить. Не самое сложное задание - запустил Win Update, дождался, пока система даст отмашку "меня можно перезагрузить" и перезагрузил принтер.

После перезагрузки на том диске, который орал, что на нем места фиг да нифига, вдруг объявляет себя вполне себе свободным. Ну как свободным, заняты те самые 3 Гб под драйверами, все остальное - используй как тебе надо.

То было пару месяцев назад. Почесал я тогда тыкву и спустил случай на тормозах. А пару дней назад эта проблема всплыла снова.

Снова лезу на сервер, убеждаюсь, что кроме папки с драйверами там нового ничего не объявилось. Но диск занят. А давай посмотрим, что туда вообще пытается писать. ResMon показал прекрасное:

Система долбится в каталог, которого вроде как на диске нет. На скрин не попало, но в тот же каталог долбится и PrintIsolationHost.exe, и еще много чего. Что это за фигня?

Ради интереса посмотрел, а есть ли такое на других принт-серверах. Оказалось - есть. И тот же PrintIsolationHost.exe, который является частью службы печати, и еще много чего лезут в такие же папки в корнях дисков - _IWEVT_{GUID}. И где-то тут в мозгах щелкает одна мысль. IW - очень сильно напоминает про InfoWatch, который на принт-серверах и живет. А что нам скажут логи этого самого InfoWatch? Прямо на том же сервере, где сейчас и находился, лезу в его папку установки, открываю папку логов, открываю файл:

25851 06.10.2020 14:45.11 [1496/1916] [WARNING] Client::BusinessLogic::FileContent::Cleanup can't delete file with error: 2. It will be deleted on reboot.
25852 06.10.2020 14:45.58 [1496/2804] [WARNING] Client::BusinessLogic::FileContent::Cleanup can't delete file with error: 2. It will be deleted on reboot.
25853 06.10.2020 14:46.02 [1496/2412] [WARNING] Client::BusinessLogic::FileContent::Cleanup can't delete file with error: 2. It will be deleted on reboot.
25854 06.10.2020 14:47.10 [1496/2916] [WARNING] Client::BusinessLogic::FileContent::Cleanup can't delete file with error: 2. It will be deleted on reboot.
25855 06.10.2020 14:47.58 [1496/1804] [WARNING] Client::BusinessLogic::FileContent::Cleanup can't delete file with error: 2. It will be deleted on reboot.

И такого барахла там - простыня.

Отписываюсь людям, которые рулят консолью InfoWatch, мол, ребята, есть проблема, надо решать. По итогу дикой переписки обновили клиентов, проверили работу, пока полет нормальный. Пока. Приеду на работу, надо будет еще понаблюдать за этой софтиной.

Что меня в этой истории выбесило - то, как IW себя защищает. Ему мало отобрать все права у всех админов на свои файлы/службы/что там еще. Он еще и скрывает себя отовсюду, как какой-нибудь руткит: временные папки, папку установки, вот это все. В логи мне удалось заглянуть только потому, что на одном из серверов самозащита была отключена (уж не знаю, почему, повторюсь, не я управляю этой гадостью). И если не знать, что это ПО на сервере живет, проблему можно искать очень долго.

Ну и второй факт. Простыня ошибок удаления файлов копилась где-то пару месяцев. Неужели в той самой консоли, за которой наблюдают специально обученные люди, ни разу этот факт не высветился? Это надо будет еще уточнить...

Эй, Наташа Касперская! Дюже некрасиво твое поделие себя ведет! %)