Проблемы. Анализ причин

Проблемы. Анализ причин
Задать вопрос
Наши специалисты ответят на любой интересующий вопрос по услуге

Безусловно, лучшим средством предотвращения проблем является мониторинг состояния компьютеров/серверов в сети. Об этом мы поговорим в другой раз, сегодня же тема нашего разговора: утилиты для анализа информации о сбоях и ошибках. Существуют два источника получения информации:

Журналы ошибок и файлы дампов памяти на момент сбоев.

Журналы событий

ОС Windows пишет много интересной информации в журналы событий.

Перечислим основные журналы. Одинаковые для всех версий ОС семейства Windows NT:

Приложения (содержит данные, относящиеся к работе приложений и программ. Записи этого журнала создаются самими приложениями. События, вносимые в журнал приложений, определяются разработчиками соответствующих приложений);

Безопасность (содержит записи о таких событиях, как успешные и безуспешные попытки доступа в систему, а также о событиях, относящихся к использованию ресурсов, например о создании, открытии и удалении файлов и других объектов. Решение о событиях, сведения о которых заносятся в журнал безопасности, принимает администратор. Например, после разрешения аудита входа в систему сведения обо всех попытках входа заносятся в журнал безопасности);

Система (содержит записи о событиях, внесенные компонентами операционной системы Windows. Например, в журнале системы регистрируются сбои при загрузке драйверов или других системных компонентов при запуске системы).

Для просмотра отлично подходят стандартные средства, но что делать, когда на предприятии присутствуют разные версии Windows? Журнал от Windows XP не открывается в Windows 7, например. Тут нам на выручку приходит утилита Event Log Explore http://www.eventlogxp.com/rus/

Она позволяет анализировать события на множестве компьютеров сразу. В отличие от стандартного просмотрщика событий Event Log Explorer позволяет распечатывать данные журналов как полностью так и для каждого события в отдельности. Также возможен экспорт журналов событий в различные форматы - HTML, файл Microsoft Excel или текстовый файл, что, в свою очередь упрощает сортировку и организацию информативного представления событий.

Дампы

Визуальным проявлением неустранимых ошибок, во время окторых создаются дампы вяляется BSoD - Blue Screen of Death (синий экран смерти)

Синий экран смерти появляется, когда в коде ядра или драйвера, выполняющемся в режиме ядра, возникает неустранимая ошибка (чаще всего это попытка выполнения драйвером недопустимой операции). Единственным возможным действием в данном случае является перезагрузка компьютера (при этом пользователь теряет все несохранённые данные). По умолчанию такая перезагрузка происходит автоматически.

Если это включено в настройках, во время критических сбоев системы, состояние памяти с информацией о запущенных процессах и причине сбоя записывается в файл, который лежит в папке Windows\Minidump и имеют расширение dmp.

Анализ этих файлов позволяет проводить еще один набор бесплатных утилит, на этот раз от Microsoft - Debugging Tools for Windows. Графическое представление анализа дает программа windbg, однако ее вывод содержит избыточное количество информации.

Скрипт Kernel Debugger Front End решает эту проблему :

  1. запускаем скрипт
    KDFE.CMD c:\070111-30092-01.dmp
  2. идет анализ файла
    Analyzing "c:\070111-30092-01.dmp", please wait... Done.
    
  3. дата
    Crash date:      Fri Jul  1 17:18:30.763 2011 (UTC + 6:00)
  4. код ошибки
    Stop error code:    0x8E
    
  5. имя сбойного процесса
    Process name:    wmpnetwk.exe
    
  6. причина сбоя (процесс/драйвер, вызвавший ошибку)
    Probably caused by: ntkrpamp.exe ( ntExFreeToNPagedLookasideList+4 )

Итак, анализ доступной информации помогает узнать о причинах возникновения проблем и сделать и принять соответствующие меры.

На этом все. Спасибо за внимание!

Если статья оказалась полезной - поделись ссылкой с друзьями - кнопки ниже!

Цель нашей компании - предоставление высококачественных ИТ-услуг предприятиям малого и среднего бизнеса.