Включить полный аварийный дамп. Нажмите Win+ Pause, перейдите в «Дополнительные параметры системы» → вкладка «Дополнительно» и в разделе «Запуск и восстановление» нажмите «Настройки».
Убедитесь, что ваш файл подкачки достаточно большой, чтобы вместить полный дамп, то есть, по крайней мере, объем оперативной памяти + 256 МБ.
перейдите в «Расширенные настройки системы» → вкладка «Дополнительно»
в разделе «Производительность» нажмите «Настройки» и перейдите на вкладку «Дополнительно».
нажмите «Изменить ..» и выберите «Нестандартный размер»
не забудьте нажать Set до OK, просто OK не будет работать
Если после этого на системном диске остается меньше (25 ГБ + объем ОЗУ), выполните следующие действия:
открыть Regedit
перейдите к
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
создать ключ DWORD
AlwaysKeepMemoryDump
со значением 1перезагружать
Запустите трассировку Xperf (
xperf –on DiagEasy
из консоли администратора), которая фиксирует активность жесткого диска.Запустите MSE (или Защитник Windows) и дождитесь сбоя.
Перезагрузитесь в Windows и откройте файл Memory.dmp с помощью WinDbg. Внутри Windbg выполните следующую команду, чтобы увидеть все активные журналы ETW:
!wmitrace.strdump
Посмотрите, какой номер "NT Kernel Logger". Теперь выполните следующую команду для экспорта данных в файл ETL:
!wmitrace.logsave 0xNUMBER c:\DISK.etl
Откройте файл ETL в xperfview / WPA и посмотрите на график дискового ввода-вывода, к каким файлам обращались.
Инструмент для записи дискового ввода-вывода конкретного процесса в файл
1324
Soonts
Я использую Windows 8 x64. MSSE (переименованный в Защитник Windows) постоянно вызывает BSoD во время быстрого сканирования (проблема описана здесь ). Я хочу выяснить, к какому последнему файлу (файлам) он обращался.
Обычно я использую SysInternals Process Monitor для таких задач. Тем не менее, он не имеет возможности сохранять события по мере их генерации, и, поскольку система падает с BSoD, я не вижу никакого вывода.
Знаете ли вы инструмент для мониторинга дискового ввода-вывода, как SysInternals Process Monitor, который сохраняет все данные на жестком диске (конечно, отфильтровывая свой собственный дисковый ввод-вывод)?
2 ответа на вопрос
2
magicandre1981
Мне удалось создать полный дамп и сохранить ETL. Проблема заключается в том, что WPA не хочет открывать ETL, говоря, что «Trace C: \ Temp \ Crashes \ DISK.etl не может быть успешно открыт [0x80070570]. Операция прерывания». Есть идеи?
Soonts 11 лет назад
0
Код означает, что файл поврежден (0x80070570 = ERROR_FILE_CORRUPT). Попробуйте вместо этого открыть ETL с помощью xperfview.
magicandre1981 11 лет назад
0
Та же ошибка Кстати, я чувствую, что эти два инструмента (wpa.exe и xperfview.exe) являются просто тонкими обертками над некоторой общей библиотекой (даже заголовок сообщения об ошибке совпадает с «Windows Performance Analyzer»). Пробовал воссоздавать ETL - не повезло.
Soonts 11 лет назад
0
спросите MSFT здесь в комментариях или по почте, как избежать поврежденных файлов ETL: http://channel9.msdn.com/Shows/Defrag-Tools/Defrag-Tools-29-WinDbg-ETW-Logging
magicandre1981 11 лет назад
1
0
grawity
Process Monitor может записывать в файл журнала на диске, см. Файл → Резервные файлы .
Нету. Файл 'C: \ Temp \ 2remove \ FileIO.PML' не был полностью закрыт во время захвата и поврежден.
Soonts 11 лет назад
1
Похожие вопросы
-
3
Почему отключение моего флэш-накопителя приводит к синему экрану?
-
4
Любой совет о том, что делать, если получить загадочный синий экран в Windows?
-
2
Распознавание отпечатков пальцев в Vista x64
-
-
5
64-битная ОС и программное обеспечение VPN
-
8
Должен ли я выбрать 32 или 64 бит для Linux?
-
4
Замена для ZoneAlarm на 64-битных системах?
-
4
Почему нет 64-битной сборки Linux Firefox?
-
5
Microsoft Fingerprint Reader в 64-разрядной версии Windows (Vista или Windows 7)
-
2
Панель инструментов iTunes в панели задач Windows 64
-
2
Почему при подключении моего iPhone к iTunes происходит сбой моего ноутбука Acer?