Может быть, стоит следить за историей конфигурации для IIS. Для IIS 7 / 7.5 по умолчанию он будет отслеживать изменения конфигурации в c: \ inetpub \ history, где должна быть папка моментальных снимков для каждого обнаруженного изменения. Хотя имейте в виду, что это обычно ограничивается последними 10 изменениями, хотя его можно увеличить, изменив настройку. (На самом деле у меня есть сценарий PowerShell, который использует снимки в сочетании с Mercurial для получения полной истории)
Сравнивая эти файлы, вы, по крайней мере, получите хорошее представление о точном времени изменения. Тогда, возможно, стоит проверить журнал событий безопасности, чтобы узнать, входил ли кто-нибудь на сервер до этого времени. Кроме того, проверьте все задачи Windows, запланированные на сервере. Ничего подобного на моих серверах пока не наблюдается.
Не совсем. Если только загружаемый файл web.config не вносит изменений, он не должен изменяться просто волшебным образом.
Включите аудит конфигурации, открыв журналы событий, найдя журнал событий Microsoft \ IIS-Configuration \ Operations и щелкнув правой кнопкой мыши, чтобы включить это.
Если изменение попадает в Applicationhost.config, вы должны увидеть его там. Если в web.config в папке с содержимым было внесено изменение, а) простое сравнение покажет вам, что и б) если вышеуказанная система этого не сделает, аудит файловой системы сможет сказать вам, кто его изменяет.
Выяснить, где это происходит, вероятно, полдела ... тогда вы ставите ловушку ...