read open how files dmp check windows-server-2008 crash-dumps

windows server 2008 - open - Un proceso se estrelló en Windows... Ubicación del volcado de bloqueo



read windows memory dump file (7)

Un proceso de Windows se estrelló por alguna razón. Necesito analizar el volcado de choque.

En Windows 2003, la salud de la PC nos ayudó a encontrar el archivo de volcado.

¿Cómo obtener la ubicación del archivo de volcado por caída en Windows 2008?

En Windows 2008 R2, he visto volcados de caída de aplicaciones bajo

C: / Users / [Algunos usuarios] / Microsoft / Windows / WER / ReportArchive

o

C: / ProgramData / Microsoft / Windows / WER / ReportArchive

No sé cómo Windows decide qué directorio usar.

He observado en Windows 2008 que los volcados de informes de errores de Windows se almacenan en la carpeta:

C: / Users / Todos los usuarios / Microsoft / Windows / WER / ReportQueue

Que, comenzando con Windows Vista, es un alias para:

C: / ProgramData / Microsoft / Windows / WER / ReportQueue

Tal vez útil (Powershell)

http://sbrennan.net/2012/10/21/configuring-application-crash-dumps-with-powershell/

Desde Windows Vista y Windows Server 2008 en adelante, Microsoft presentó Windows Error Reporting o WER. Esto permite que el servidor se configure para habilitar automáticamente la generación y captura de volcados de Application Crash. La configuración de esto se discute aquí. El principal problema con la configuración predeterminada es que los archivos de volcado se crean y almacenan en la carpeta% APPDATA% / crashdumps que ejecuta el proceso, lo que puede dificultar la recopilación de volcados ya que están distribuidos por todo el servidor. Hay problemas adicionales con esto, pero el problema principal que siempre tuve fue que es una tarea simple que es muy repetitiva pero fácil de hacer incorrectamente.

Código fuente en Powershell (también debería ser un código fuente útil en C #):

$verifydumpkey = Test-Path "HKLM:/Software/Microsoft/windows/Windows Error Reporting/LocalDumps" if ($verifydumpkey -eq $false ) { New-Item -Path "HKLM:/Software/Microsoft/windows/Windows Error Reporting/" -Name LocalDumps } ##### adding the values $dumpkey = "HKLM:/Software/Microsoft/Windows/Windows Error Reporting/LocalDumps" New-ItemProperty $dumpkey -Name "DumpFolder" -Value $Folder -PropertyType "ExpandString" -Force New-ItemProperty $dumpkey -Name "DumpCount" -Value 10 -PropertyType "Dword" -Force New-ItemProperty $dumpkey -Name "DumpType" -Value 2 -PropertyType "Dword" -Force

WER -Windows Error Reporting- Carpetas:

HKEY_LOCAL_MACHINE / SOFTWARE / Microsoft / Windows / Windows Informe de errores / LocalDumps

% localappdata% / Microsoft / Windows / WER

% LOCALAPPDATA% / CrashDumps

C: / Users [Usuario actual cuando la aplicación> se bloqueó] / AppData / Local / Microsoft / Windows / WER / ReportArchive

C: / ProgramData / Microsoft / Windows / WER / ReportArchive

c: / Users / Todos los usuarios / Microsoft / Windows / WER / ReportQueue /

BSOD Crash

% WINDIR% / Minidump

% WINDIR% / MEMORY.DMP

Fuentes:
http://sbrennan.net/2012/10/21/configuring-application-crash-dumps-with-powershell/
http://msdn.microsoft.com/en-us/library/windows/desktop/bb787181%28v=vs.85%29.aspx
http://support.microsoft.com/kb/931673
https://support2.microsoft.com/kb/931673?wa=wsignin1.0

Windows 7, 64 bit, sin modificaciones a la clave de registro, la ubicación es:

C: / Users [Usuario actual cuando se bloquea la aplicación] / AppData / Local / Microsoft / Windows / WER / ReportArchive

un volcado de núcleo generalmente solo se realiza cuando el kernel de Windows se bloquea (también conocido como pantalla azul). La mayoría de las veces, un error de servicio solo dejará un poco de registro (en el visor de eventos probablemente).

Si lo que busca es el volcado de seguridad de pantalla azul, busque en C: / Windows / Minidump o C: / windows / MEMORY.DMP

http://support.microsoft.com/kb/931673

Hay cambios en el Registro que puede hacer para seleccionar explícitamente dónde reside el archivo de volcado de fallos, de lo contrario,% localappdata% / Microsoft / Windows / WER es la ubicación predeterminada. Supongo que% localappdata% se define de manera diferente para un usuario o un servicio que se ejecuta en Sistema. Necesitará habilitar WER, creo.