Создание ядра или полный аварийный дамп
Сбой системы (также известный как «ошибка проверка» или «stop error») происходит, когда Windows не может работать правильно. Файл дампа, созданный из этого события, называется системным аварийным дамлом.
Файл дампа ядра вручную или полный файл дампа памяти полезен при устранении нескольких проблем, так как процесс записывает запись системной памяти во время сбоя.
Применимо к: Windows 10
Настройка файлов страниц
Требования к размеру файла подкачки для системного аварийного дампа см. в разделе Поддержка системных аварийных дампов .
Включение параметра дампа памяти
Для выполнения этой процедуры необходимо войти в систему как администратор или член группы администраторов. Если компьютер подключен к сети, параметры политики сети могут помешать вам выполнить эту процедуру.
Чтобы включить параметр дампа памяти, выполните следующие действия.
- В панель управления выберите Система и система безопасности>.
- Выберите Дополнительные параметры системы, а затем перейдите на вкладку Дополнительно .
- В области Запуск и восстановление выберите Параметры.
- Убедитесь, что в разделе Запись сведений об отладке выбран дамп памяти ядра или Полный дамп памяти.
- Перезагрузите компьютер.
Вы можете изменить путь к файлу дампа, изменив поле Файл дампа . Иными словами, можно изменить путь с %SystemRoot%\Memory.dmp , чтобы он указывал на локальный диск с достаточным объемом дискового пространства, например E:\Memory.dmp.
Советы по созданию дампов памяти
При сбое и перезагрузке компьютера содержимое физической ОЗУ записывается в файл подкачки, расположенный в разделе, в котором установлена операционная система.
В зависимости от скорости жесткого диска, на котором установлена Windows, дамп более 2 гигабайт (ГБ) памяти может занять много времени. Даже в лучшем случае, если файл дампа настроен для хранения на другом локальном жестком диске, значительный объем данных будет считываться и записываться на жесткие диски. Этот процесс чтения и записи может привести к длительному сбою сервера.
Используйте этот метод для создания полных файлов дампа памяти с осторожностью. В идеале это следует делать только при явном запросе инженера служба поддержки Майкрософт. После полного исчерпания всех стандартных методов устранения неполадок все стандартные методы отладки файлов дампа памяти или файлов дампа памяти должны быть в крайнем случае.
Создание файла дампа памяти вручную
Использование средства NotMyFault
Если вы можете выполнить вход во время возникновения проблемы, используйте средство Microsoft Sysinternals NotMyFault, выполнив следующие действия.
- Скачайте средство NotMyFault .
- Нажмите кнопку Пуск, а затем выберите Командная строка.
- В командной строке выполните следующую команду:
notMyfault.exe /crash
Эта операция создает файл дампа памяти и ошибку D1 Stop.
Использование NMI
На некоторых компьютерах нельзя использовать клавиатуру для создания файла аварийного дампа. Например, серверы BladeSystem Hewlett-Packard (HP) компании Hewlett-Packard Development Company управляются с помощью графического пользовательского интерфейса (GUI) на основе браузера. Клавиатура не подключена к серверу HP BladeSystem.
В таких случаях необходимо создать полный файл аварийного дампа или файл аварийного дампа ядра с помощью параметра NMI, который вызывает NMI на системном процессоре.
Чтобы реализовать этот процесс, выполните следующие действия.
Точно следуйте всем указаниям из этого раздела. Внесение неправильных изменений в реестр может привести к возникновению серьезных проблем. Прежде чем приступить к изменениям, создайте резервную копию реестра для восстановления на случай возникновения проблем.
Этот раздел реестра не требуется для клиентов, работающих Windows 8 и более поздних версий, а также серверов под управлением Windows Server 2012 и более поздних версий. Установка этого раздела реестра в более поздних версиях Windows не оказывает влияния.
- Открыв редактор реестра, выберите следующий подраздел: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl
- Щелкните правой кнопкой мыши CrashControl, наведите указатель на пункт Создать, а затем выберите значение DWORD.
- Введите NMICrashDump и нажмите клавишу ВВОД.
- Щелкните правой кнопкой мыши NMICrashDump и выберите команду Изменить.
- В поле Данные значения введите 1 и нажмите кнопку ОК.
- Перезагрузите компьютер.
- Поставщики оборудования, такие как HP, IBM и Dell, могут предоставить функцию автоматического восстановления системы (ASR). Эту функцию следует отключить во время устранения неполадок. Например, если функция HP и Compaq ASR включена в BIOS, отключите эту функцию при устранении неполадок, чтобы создать полный файл Memory.dmp. Для получения точных действий обратитесь к поставщику оборудования.
- Включите переключатель NMI в BIOS или с помощью веб-интерфейса iLO.
Примечание. Подробные инструкции см. в справочном руководстве по BIOS или обратитесь к поставщику оборудования.
Если вы хотите запустить NMI в Microsoft Azure с помощью последовательной консоли, см. статью Использование последовательной консоли для вызовов SysRq и NMI.
SSD-диск отмечен как «Аварийный дамп памяти» — что делать?
Отметка «Аварийный дамп памяти», которую можно увидеть в системном приложении «Управление дисками», не является следствием каких-то проблем логическим разделом («Локальным диском»), и уж там более — следствием неполадок в работе самого твердотельного накопителя. По всей видимости, в пользователей вселяет беспокойство слово «аварийный», предшествующее непотному словосочетанию «дамп памяти». Давайте во всем разбираться.
1
Что такое «Аварийный дамп памяти»?
Спешим заверить, что понятие «Аварийный дамп памяти» не относится к SSD-диску или любому другому типу устройству хранения данных, т.е. оно не означает, как может показаться, что накопитель пребывает в аварийном состоянии. Если простыми словами, то это всего лишь название для файла, автоматически создающегося при возникновении критических ошибок в работе операционной системы. А тот локальный диск (раздел), где впоследствии хранится этот файл, отмечается в программе «Управление дисками» соответствующей пометкой. По умолчанию, для этих целей задействуется системный раздел, куда установлена операционная система. При необходимости местоположение можно изменить.
Наверняка, абсолютно все пользователи Windows слышали о «Синем экране смерти» BSoD (Blue Screen of Dead), который может «обрадовать» своим появлением на любой стадии работы ОС. Это и есть критические ошибки системы. Так вот, при возникновении BSoD (но вполне возможно, не только при BSoD) операционная система создает один крупный файл «MEMORY.DMP» и/или несколько мелких файлов, содержащих самую различную отладочную информацию о компьютере, в т.ч. данные, что пребывали на момент возникновения ошибки в оперативной памяти. Эта информация помогает специалистам выявить причину неполадок, приведших к появлению этого самого «Синего экрана смерти». Сгенерированные системой данные именуются «дампом». А «аварийный» этот дамп по той причине, что создается он в случае возникновения аварий в работе Windows.
Вредит ли «Аварийный дамп памяти» SSD-диску?
Ничем, кроме как уменьшением объема свободного дискового пространства, «Аварийный дамп памяти» не вредит твердотельному накопителю. Но с другой стороны, это мусор (по крайней мере, для простых пользователей), забивающий память SSD-диска. А, как известно, твердотельные накопители «не приветствуют» хранение бесполезных для рядового пользователя файлов, т.к. это сказывается на ресурсе ячеек памяти.
Потому многие пользователи просто отключают функцию создания «Аварийного дампа памяти» в настройках системы, и перестают беспокоиться о лишнем мусоре на SSD-диске. Отвечая на очевидный вопрос о безопасности подобного мероприятия, скажем, что это безопасно. А вот целесообразно ли это — зависит от конкретной ситуации. Если ошибки BSoD возникают довольно часто, причем, даже после переустановки системы, то функцию создания «Аварийного дампа памяти» лучше оставить в активном состоянии, чтобы облегчить специалистам задачу по устранению причин их возникновения.
Можно ли удалить файлы дампа памяти?
Можно. Если, конечно, они точно не понадобятся в устранении неполадок в работе системы. А вообще, они удаляются системой автоматически, если объем свободного дискового пространства сократиться до какого-то определенного значения (точно не скажем, но вроде как — 25 Гб). Чтобы удалить файлы дампа в Windows 10 и 11 вручную, нужно сделать следующее:
- Откройте окно «Параметры» комбинацией клавиш «Win + I», перейдите в нем во вкладку «Система», затем — в раздел «Память»:
- Далее перейдите в подраздел «Временные файлы»:
- Дождитесь, пока система завершит сканирование диска на предмет наличия временных файлов. Затем снимите галочки со всех пунктов, кроме одного — «Файлы дампа памяти для системных ошибок». Впрочем, можно удалить и другой мусор. Останется нажать кнопку «Удалить файлы» в верхней части окна:
Удалить эти файлы можно вручную. В системной папке «C:\Windows\» хранится основной файл дампа памяти — «MEMORY.DMP», а в папке «C:\Windows\Minidump» — малые дампы памяти размером около 1 Мб. Для удаления этих файлов потребуются права администратора компьютера.
Как отключить «Аварийный дамп памяти»?
Здесь все просто. Дальнейшая инструкция применима ко всем версиям ОС Windows, за исключением способа открытия нужного окна. В Windows 10 и 11 это делается следующим образом:
- Открываем окно «Параметры», переходим в нем во вкладку «Система», затем идем в подраздел «О системе»:
- В правой части окна напротив надписи «Ссылки по теме» кликаем по элементу «Защита системы»:
- Откроется окно «Свойства системы»: переходим в нем во вкладку «Дополнительно», затем в блоке «Загрузка и восстановление» нажимаем кнопку «Параметры»:
- В еще одном новом окне в блоке «Запись отладочной информации» устанавливаем вариант «(нет)».
- Если на компьютере, помимо SSD-накопителя, присутствуют и обычные жесткие диски, то файл дампа памяти можно будет хранить и на нем. Для этого достаточно вписать путь к локальному диску или любой папке в текстовое поле «Файл дампа»:
Вот, собственно, и все, что нужно знать об «Аварийном дампе памяти» и «отношении» к нему со стороны твердотельного накопителя.
Аварийный дамп памяти
Все Windows-системы при обнаружении фатальной ошибки делают аварийный дамп (снимок) содержимого оперативной памяти и сохраняет его на жесткий диск. Существуют три типа дампа памяти:
Полный дамп памяти – сохраняет все содержимое оперативной памяти. Размер снимка равен размеру оперативной памяти + 1 Мб (заголовок). Используется очень редко, так как в системах с большим объемом памяти размер дампа будет слишком большим.
Дамп памяти ядра – сохраняет информацию оперативной памяти, касающуюся только режима ядра. Информация пользовательского режима не сохраняется, так как не несет в себе информации о причине краха системы. Объем файла дампа зависит от размера оперативной памяти и варьируется от 50 Мб (для систем с 128 Мб оперативной памяти) до 800 Мб (для систем с 8 Гб оперативной памяти).
Малый дамп памяти (мини дамп) – содержит довольно небольшое количество информации: код ошибки с параметрами, список драйверов загруженных в оперативную память на момент краха системы и т.д., но этих сведений достаточно, для определения сбойного драйвера. Еще одним преимуществом данного вида дампа является маленький размер файла.
Для выявления драйвера вызвавшего синий экран нам достаточно будет использовать малый дамп памяти. Для того чтобы система при крахе сохраняла мини дамп необходимо выполнить следующие действия:
- Правой клавишей мыши нажать на значке Мой компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause);
- Переходите на вкладку Дополнительно;
- В поле Загрузка и восстановление необходимо нажать кнопку Параметры;
- В поле Запись отладочной информации выбираем Малый дамп памяти (64 Кб).
- Правой клавишей мыши нажать на значке Компьютер из контекстного меню выберите Свойства (или комбинация клавиш Win+Pause);
- В левом меню щелкаем на пункт Дополнительные параметры системы;
- Переходите на вкладку Дополнительно;
- В поле Загрузка и восстановление необходимо нажать кнопку Параметры;
- В поле Запись отладочной информации выбираем Малый дамп памяти (128 Кб).
Проделав все манипуляции, после каждого BSoD в папке C:\WINDOWS\Minidump будет сохраняться файл с расширение .dmp. Советую ознакомиться с материалом «Как создать папку». Также можно установить галочку на “Заменить существующий файл дампа”. В этом случае каждый новый аварийный дамп будет записываться поверх старого. Я не советую включать данную опцию.
Анализ аварийного дампа памяти с помощью программы BlueScreenView
Итак, после появления синего экрана смерти система сохранила новый аварийный дамп памяти. Для анализа дампа рекомендую использовать программу BlueScreenView. Её можно бесплатно скачать тут. Программа довольно удобная и имеет интуитивный интерфейс. После её установки первое, что необходимо сделать – это указать место хранение дампов памяти в системе. Для этого необходимо зайти в пункт меню “Options” и выбрать “Advanced Options”. Выбираем радиокнопку “Load from the following Mini Dump folder” и указываем папку, в которой хранятся дампы. Если файлы хранятся в папке C:\WINDOWS\Minidump можно нажатием кнопки “Default”. Нажимаем OK и попадаем в интерфейс программы.
Программа состоит из трех основных блоков:
- Блок главного меню и панель управления;
- Блок списка аварийных дампов памяти;
- В зависимости от выбранных параметров может содержать в себе:
- список всех драйверов находящихся в оперативной памяти до появления синего экрана (по умолчанию);
- список драйверов находящихся в стеке оперативной памяти;
- скриншот BSoD;
- и другие значения, которые мы использовать не будем.
В блоке списка дамп памяти (на рисунке помечен цифрой 2) выбираем интересующий нас дамп и смотрим на список драйверов, которые были загружены в оперативную память (на рисунке помечен цифрой 3). Розовым цветом окрашены драйвера, которые находились в стеке памяти. Они то и являются причиной появления BSoD. Далее переходите в Главное меню драйвера, определяйте к какому устройству или программе они принадлежат. В первую очередь обращайте внимание на не системные файлы, ведь системные файлы в любом случае загружены в оперативной памяти. Легко понять, что на изображении сбойным драйвером является myfault.sys. Скажу, что это программа была специально запущена для вызова Stop ошибки. После определения сбойного драйвера, необходимо его либо обновить, либо удалить из системы.
Для того чтобы программа показывала список драйверов находящихся в стеке памяти во время возникновения BSoD необходимо зайти в пункт меню “Options” кликаем на меню “LowerPaneMode” и выбираем “OnlyDriversFoundInStack” (или нажмите клавишу F7), а для показа скриншота ошибки выбираем “BlueScreeninXPStyle” (F8). Что бы вернуться к списку всех драйверов, необходимо выбрать пункт “AllDrivers” (F6).
2015 © СИСТЕМНЫЙ АДМИНИСТРАТОР
заметки для работы
Конструктор интернет-магазина
Nethouse
Чтение файла небольшого дампа памяти, созданного Windows при сбое
В этой статье описывается, как изучить файл небольшого дампа памяти. Небольшой файл дампа памяти поможет определить причину сбоя компьютера.
Применимо к Все поддерживаемые версии клиента Windows и Windows Server
Исходный номер базы знаний: 315263
Сведения об отладке для Windows 8 или более поздних версий см. в статье Средства отладки для Windows (WinDbg, KD, CDB, NTSD). Дополнительные сведения о небольшом дампе памяти см. в разделе Малый дамп памяти.
Небольшие файлы дампа памяти
Если компьютер выходит из строя, как определить, что произошло, устранить проблему и предотвратить ее повторное возникновение? В этой ситуации небольшой файл дампа памяти может оказаться полезным. Файл небольшого дампа памяти содержит наименьшее количество полезных сведений, которые помогут определить причину сбоя компьютера. Файл дампа памяти содержит следующие сведения:
- Сообщение Stop, его параметры и другие данные
- Список загруженных драйверов
- Контекст процессора (PRCB) для остановленного процессора
- Сведения о процессе и контекст ядра (EPROCESS) для остановленного процесса
- Сведения о процессе и контекст ядра (ETHREAD) для остановленного потока
- Стек вызовов в режиме ядра для остановленного потока
Чтобы создать файл дампа памяти, Windows требуется файл подкачки на загрузочном томе размером не менее 2 МБ. На компьютерах под управлением Microsoft Windows 2000 или более поздней версии Windows при каждом сбое компьютера создается новый файл дампа памяти. Журнал этих файлов хранится в папке. Если возникает вторая проблема и если Windows создает второй небольшой файл дампа памяти, Windows сохраняет предыдущий файл. Windows присваивает каждому файлу отдельное имя файла в кодировке даты. Например, Mini022900-01.dmp — это первый файл дампа памяти, созданный 29 февраля 2000 г. Windows хранит список всех небольших файлов дампа памяти в папке %SystemRoot%\Minidump .
Небольшой файл дампа памяти может быть полезен, если место на жестком диске ограничено. Однако из-за ограниченности включенных сведений при анализе этого файла ошибки, которые не были непосредственно вызваны потоком, выполняющимся во время возникновения проблемы, могут быть не обнаружены при анализе этого файла.
Настройка типа дампа
Чтобы настроить параметры запуска и восстановления для использования файла небольшого дампа памяти, выполните следующие действия.
Следующие действия могут отличаться на компьютере в зависимости от версии Windows. Если они отличаются, ознакомьтесь с документацией по продукту, чтобы выполнить эти действия.
- Выберите Пуск>Панель управления.
- Дважды щелкните Система, а затем выберите Дополнительные параметры> системыДополнительно.
- В разделе Запуск и восстановление выберите Параметры.
- В списке Запись сведений об отладке выберите Малый дамп памяти (256 кб).
Чтобы изменить расположение папки для небольших файлов дампа памяти, введите новый путь в поле Файл дампа или в поле Каталог малого дампа (в зависимости от версии Windows).
Средства для чтения файла небольшого дампа памяти
Используйте служебную программу проверки дампа (Dumpchk.exe), чтобы прочитать файл дампа памяти или убедиться, что файл создан правильно.
Служебная программа проверки дампа не требует доступа к отладочным символам. Файлы символов содержат различные данные, которые фактически не требуются при запуске двоичных файлов. Однако эти данные могут быть очень полезны при отладке.
Дополнительные сведения об использовании программы проверки дампа в Windows NT, Windows 2000, Windows Server 2003 или Windows Server 2008 см. в статье Использование Dumpchk.exe для проверка файла дампа памяти.
Дополнительные сведения об использовании программы проверки дампа в Windows XP, Windows Vista или Windows 7 см. в статье Использование Dumpchk.exe для проверка файла дампа памяти.
Вы также можете использовать средство Отладчик Windows (WinDbg.exe) или отладчик ядра (KD.exe) для чтения небольших файлов дампа памяти. WinDbg.exe и KD.exe включены в последнюю версию пакета Средств отладки для Windows.
Сведения об установке средств отладки см. на веб-странице Скачивание и установка средств отладки для Windows . Выберите обычную установку. По умолчанию установщик устанавливает средства отладки в следующей папке:
C:\Program Files\Debugging Tools for Windows
Веб-страница средства также предоставляет доступ к загружаемым пакетам символов для Windows. Дополнительные сведения о символах Windows см. в разделах Отладка с помощью символов и веб-страница Скачивания пакетов символов Windows .
Дополнительные сведения о параметрах файла дампа в Windows см. в статье Общие сведения о параметрах файлов дампа памяти для Windows.
Открытие файла дампа
Чтобы открыть файл дампа после завершения установки, выполните следующие действия.
- Нажмите кнопку Запустить>запуск, введите cmd и нажмите кнопку ОК.
- Перейдите в папку Средства отладки для Windows . Для этого введите в командной строке следующую команду и нажмите клавишу ВВОД:
cd C:\Program Files\Debugging Tools For Windows
windbg -y SymbolPath -i ImagePath -z DumpFilePath
kd -y SymbolPath -i ImagePath -z DumpFilePath
В следующей таблице объясняется использование заполнителей, используемых в этих командах.
Заполнитель | Объяснение |
---|---|
SymbolPath | Локальный путь, по которому скачаны файлы символов, или путь к серверу символов, включая папку кэша. Так как небольшой файл дампа памяти содержит ограниченные сведения, фактические двоичные файлы должны быть загружены вместе с символами, чтобы файл дампа правильно считывался. |
Imagepath | Путь к этим файлам. Файлы содержатся в папке I386 на компакт-диске Windows XP. Например, путь может быть . C:\Windows\I386 |
DumpFilePath | Путь и имя файла для файла дампа, который вы изучаете. |
Примеры команд
Для открытия файла дампа можно использовать следующие примеры команд. Эти команды предполагают следующее:
- Содержимое папки I386 на компакт-диске Windows копируется в папку C:\Windows\I386 .
- Файл дампа называется C:\Windows\Minidump\Minidump.dmp.
Пример 1 (командная строка):
kd -y srv*C:\Symbols*https://msdl.microsoft.com/download/symbols -i C:\Windows\i386 -z C:\Windows\Minidump\minidump.dmp
Пример 2 (графический пользовательский интерфейс). Если вы предпочитаете графическую версию отладчика, а не версию командной строки, введите следующую команду:
windbg -y srv*C:\Symbols*https://msdl.microsoft.com/download/symbols -i C:\Windows\i386 -z C:\Windows\Minidump\minidump.dmp
Изучение файла дампа
Существует несколько команд, которые можно использовать для сбора сведений в файле дампа, включая следующие команды:
- Команда !analyze -show отображает код stop error и ее параметры. Код stop error также называется кодом проверка ошибки.
- Команда !analyze -v отображает подробные выходные данные.
- Команда lm N T выводит список указанных загруженных модулей. Выходные данные включают состояние и путь к модулю.
В более старых версиях Windows (предварительная версия Windows XP) !drivers команда расширения отображает список всех драйверов, загруженных на целевой компьютер, а также сводную информацию об использовании ими памяти. Однако команда расширения устарела !drivers в Windows XP и более поздних версиях. Чтобы отобразить сведения о загруженных драйверах и других модулях, используйте lm команду . Команда lm N T отображает сведения в формате, аналогичном старому !drivers расширению.
Справку по другим командам и полный синтаксис команд см. в справочной документации по средствам отладки. Справочную документацию по средствам отладки можно найти в следующем расположении:
C:\Program Files\Debugging Tools for Windows\Debugger.chm
Если у вас возникли проблемы, связанные с символами, используйте служебную программу Symchk, чтобы убедиться, что правильные символы загружены правильно. Дополнительные сведения об использовании Symchk см. в разделе Отладка с помощью символов.
Упрощение команд с помощью пакетного файла
Определив команду, которую необходимо использовать для загрузки дампов памяти, можно создать пакетный файл для проверки файла дампа. Например, создайте пакетный файл и назовите его Dump.bat. Сохраните его в папке, в которой установлены средства отладки. В пакетном файле введите следующий текст:
cd "C:\Program Files\Debugging Tools for Windows" kd -y srv*C:\Symbols*https://msdl.microsoft.com/download/symbols -i C:\Windows\i386 -z %1
Чтобы изучить файл дампа, введите следующую команду, чтобы передать путь к файлу дампа пакетной службы:
dump C:\Windows\Minidump\minidump.dmp