По какой-то причине произошел сбой процесса Windows. Мне нужно проанализировать аварийный дамп.
В Windows 2003 здоровье ПК помогло нам найти файл аварийного дампа.
Как получить местоположение файла аварийного дампа в Windows 2008?
По какой-то причине произошел сбой процесса Windows. Мне нужно проанализировать аварийный дамп.
В Windows 2003 здоровье ПК помогло нам найти файл аварийного дампа.
Как получить местоположение файла аварийного дампа в Windows 2008?
Я наблюдал в Windows 2008, что дампы сбоя отчетов об ошибках Windows помещаются в папку:
C:\Users\All Users\Microsoft\Windows\WER\ReportQueue
Что, начиная с Windows Vista, является псевдонимом для:
C:\ProgramData\Microsoft\Windows\WER\ReportQueue
Может быть полезно (Powershell)
http://sbrennan.net/2012/10/21/configuring-application-crash-dumps-with-powershell/
Начиная с Windows Vista и Windows Server 2008, Microsoft представила отчеты об ошибках Windows или WER. Это позволяет настроить сервер для автоматического включения создания и захвата дампов сбоев приложений. Конфигурация этого обсуждается здесь. Основная проблема с конфигурацией по умолчанию заключается в том, что файлы дампов создаются и хранятся в папке %APPDATA%\crashdumps, в которой запущен процесс, что может затруднить сбор дампов, поскольку они разбросаны по всему серверу. С этим есть дополнительные проблемы, но основная проблема, с которой я всегда сталкивался, заключалась в том, что это простая задача, которая очень повторяется, но ее легко выполнить неправильно.
Исходный код в Powershell (также должен быть полезен исходный код на С#):
$verifydumpkey = Test-Path "HKLM:\Software\Microsoft\windows\Windows Error Reporting\LocalDumps"
if ($verifydumpkey -eq $false )
{
New-Item -Path "HKLM:\Software\Microsoft\windows\Windows Error Reporting\" -Name LocalDumps
}
##### adding the values
$dumpkey = "HKLM:\Software\Microsoft\Windows\Windows Error Reporting\LocalDumps"
New-ItemProperty $dumpkey -Name "DumpFolder" -Value $Folder -PropertyType "ExpandString" -Force
New-ItemProperty $dumpkey -Name "DumpCount" -Value 10 -PropertyType "Dword" -Force
New-ItemProperty $dumpkey -Name "DumpType" -Value 2 -PropertyType "Dword" -Force
WER — отчеты об ошибках Windows — папки:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Отчеты об ошибках\LocalDumps
%localappdata%\Microsoft\Windows\WER
%LOCALAPPDATA%\CrashDumps
C:\Users[Текущий пользователь при сбое приложения›]\AppData\Local\Microsoft\Windows\WER\ReportArchive
C:\ProgramData\Microsoft\Windows\WER\ReportArchive
c:\Users\All Users\Microsoft\Windows\WER\ReportQueue\
Сбой BSOD
%WINDIR%\Minidump
%WINDIR%\MEMORY.DMP
Источники:
http://sbrennan.net/2012/10/21/configuring-application-crash-dumps-with-powershell/
http://msdn.microsoft.com/en-us/library/windows/desktop/bb787181%28v=vs.85%29.aspx
http://support.microsoft.com/kb/931673
https://support2.microsoft.com/kb/931673?wa=wsignin1.0
Расположение находится в следующем разделе реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps.
Источник: http://msdn.microsoft.com/en-us/library/windows/desktop/bb787181%28v=vs.85%29.aspx
http://support.microsoft.com/kb/931673
Существуют изменения в реестре, которые вы можете внести, чтобы явно указать, где находится файл аварийного дампа, иначе %localappdata%\Microsoft\Windows\WER является расположением по умолчанию. Я предполагаю, что %localappdata% определяется по-разному для пользователя или службы, работающей под System. Я полагаю, вам нужно будет включить WER.
дамп ядра обычно создается только при сбое ядра Windows (также известном как синий экран). Сбой службы в большинстве случаев оставит после себя только некоторые журналы (вероятно, в средстве просмотра событий).
Если вы ищете аварийный дамп синего экрана, посмотрите в C:\Windows\Minidump или C:\windows\MEMORY.DMP.
В Windows 2008 R2 я видел аварийные дампы приложений либо в
C:\Users\[Некоторые пользователи]\Microsoft\Windows\WER\ReportArchive
or
C:\ProgramData\Microsoft\Windows\WER\ReportArchive
Я не знаю, как Windows решает, какой каталог использовать.
Windows 7, 64-разрядная версия, без изменений ключа реестра, расположение:
C:\Users[Текущий пользователь при сбое приложения]\AppData\Local\Microsoft\Windows\WER\ReportArchive