签到成功

知道了

CNDBA社区CNDBA社区

windows系统hung住收集日志方案

2021-10-22 13:59 1393 0 原创 windows
作者: hbhe0316

方法一:直接在问题机器上收集
以管理员权限打开cmd,输入下面的命令,然后上传C:/SYSSUM.NFO和c:/hotfix.txt

msinfo32 /nfo C:/SYSSUM.NFO /categories +systemsummary
wevtutil epl System C:/system.evtx
wevtutil epl Application C:/app.evtx
wevtutil epl Setup C:/setup.evtx
dism /online /Get-Packages /Format:Table >c:/hotfix.txt

方法二:通过Enter-PSSession远程到问题机器上收集http://www.cndba.cn/hbhe0316/article/4973http://www.cndba.cn/hbhe0316/article/4973

运行如下power shell命令远程到问题机上。

Enter-PSSession -ComputerName xxx -Credential domain/domainadministratorname

使用robocopy将事件日志拷贝出来。标黄部分可以替换为共享路径

robocopy c:/windows/system32/winevt/logs "//node2/c$/temp" /log:c:/temp.txt

Full Dump配置方法如下:

(1) 需管理员身份运行cmd运行如下指令,需判断磁盘空间是否满足complete dump条件(超过两倍物理内存大小),假设物理内存大小是16G,pagefile 大小设置为16684(16*1024+200)

http://www.cndba.cn/hbhe0316/article/4973

reg add "HKLM/System/CurrentControlSet/Control/Session Manager/Memory Management" /v PagingFiles /t REG_MULTI_SZ /d "C:/pagefile.sys 16684 16684" /f
reg add "HKLM/System/CurrentControlSet/Control/CrashControl" /v DumpFile /t REG_EXPAND_SZ /d "C:/Windows/Memory.dmp" /f
reg add "HKLM/System/CurrentControlSet/Control/CrashControl" /v CrashDumpEnabled /t REG_DWORD /d 1 /f
reg add "HKLM/SYSTEM/CurrentControlSet/Services/kbdhid/Parameters" /v CrashOnCtrlScroll /t REG_DWORD /d 0 /f
reg add "HKLM/SYSTEM/CurrentControlSet/Services/kbdhid/CrashDump" /v Dump1Keys /t REG_DWORD /d 0x20 /f
reg add "HKLM/SYSTEM/CurrentControlSet/Services/kbdhid/CrashDump" /v Dump2Key /t REG_DWORD /d 0x3d /f
reg add "HKLM/SYSTEM/CurrentControlSet/Services/i8042prt/Parameters" /v CrashOnCtrlScroll /t REG_DWORD /d 0 /f
reg add "HKLM/SYSTEM/CurrentControlSet/Services/i8042prt/CrashDump " /v Dump1Keys /t REG_DWORD /d 0x20 /f
reg add "HKLM/SYSTEM/CurrentControlSet/Services/i8042prt/CrashDump " /v Dump2Key /t REG_DWORD /d 0x3d /f

请务必注意:
上述第一条命令是设置page file文件及其大小,对于complete dump,应该设置为物理内存大小加上200MB
上述第二条命令是设置crash重启后的dump文件的位置
上述第三条命令中的1是设置complete dump。
后续命令分别为USB键盘,PS/2键盘以及NMI按钮触发crash的相关设置。http://www.cndba.cn/hbhe0316/article/4973http://www.cndba.cn/hbhe0316/article/4973

(2) 重启机器使配置生效,等待卡死问题复现(若可以您可以执行具体操作如打开explorer,浏览文件夹等),复现后等待2min 然后按住左CTRL,然后按2次空格键(键盘需要在问题出现前就连接到服务器上)触发蓝屏
触发蓝屏后,需观察蓝屏界面是否有有从0% 到100%的过程,且确认机器在100%后进入到重启状态,然后进入dump配置的路径,获取Memory.DMP文件http://www.cndba.cn/hbhe0316/article/4973

同时根据您的描述为VMware虚拟机,对于虚拟机我们可以直接进行收集快照信息,然后转换成为dump文件。

确认系统卡死之后,等待3~5min使现象稳定,按照如下步骤收集快照:
如何在VMware上收集快照(snapshot)?
1) 注意:如果有开启Vmware monitor功能,将其关闭
2) 通过如下方式创建快照

3) 在虚拟机目录中找到快照文件。
4) 快照文件是(.vmsn 或 .vmss)和 .vmem 注意是两个文件http://www.cndba.cn/hbhe0316/article/4973

相关信息:https://www.vmware.com/support/ws5/doc/ws_preserve_sshot_taking.html

复现之后需要上传的日志:http://www.cndba.cn/hbhe0316/article/4973http://www.cndba.cn/hbhe0316/article/4973http://www.cndba.cn/hbhe0316/article/4973

  1. 最新的事件日志:C:/Windows/System32/winevt/Logs一整个文件夹
  2. 快照文件(.vmsn 或 .vmss) 和 .vmem 注意是两个文件

版权声明:本文为博主原创文章,未经博主允许不得转载。

windows

用户评论
* 以下用户言论只代表其个人观点,不代表CNDBA社区的观点或立场
hbhe0316

hbhe0316

关注

1.只有承认无知,才能装下新的东西; 2.进步来自一点点滴滴的积累; 3.广博让你更优秀,而专业让你无法替代; 4.挫折和失败能够转换为一种财富。

  • 889
    原创
  • 1
    翻译
  • 13
    转载
  • 24
    评论
  • 访问:1039400次
  • 积分:1523
  • 等级:核心会员
  • 排名:第6名
精华文章
    最新问题
    查看更多+
    热门文章
      热门用户
      推荐用户
        Copyright © 2016 All Rights Reserved. Powered by CNDBA · 皖ICP备2022006297号-1·

        QQ交流群

        注册联系QQ