Windows error reporting что это

Относится к: Windows Server 2019, Windows Server 2016, Windows Server Applies to: Windows Server 2019, Windows Server 2016, Windows Server

Отчеты об ошибках Windows (WER) — это гибкая инфраструктура обратной связи на основе событий, призванная помочь опытным администраторам или уровням 3 собирать сведения о проблемах с оборудованием и программным обеспечением, которые Windows может обнаружить, сообщить о них в корпорацию Майкрософт, и предоставляют пользователям все доступные решения. Windows Error Reporting (WER) is a flexible event-based feedback infrastructure designed to help advanced administrators or Tier 3 support gather information about the hardware and software problems that Windows can detect, report the information to Microsoft, and provide users with any available solutions. Эта ссылка содержит описания и синтаксис для всех командлетов виндовсерроррепортинг. This reference provides descriptions and syntax for all WindowsErrorReporting cmdlets.

Сведения об устранении неполадок, приведенных ниже, могут быть полезны при устранении сложных проблем, которые были переданы в корпорацию Майкрософт для рассмотрения. The information on troubleshooting presented below will be helpful for troubleshooting advanced issues that have been escalated and that may require data to be sent to Microsoft for triaging.

Включение каналов событий Enabling event channels

При установке Windows Server многие каналы событий включаются по умолчанию. When Windows Server is installed, many event channels are enabled by default. Но иногда при диагностике проблемы мы хотим включить некоторые из этих каналов событий, так как они помогут в рассмотрении и диагностике проблем с системой. But sometimes when diagnosing an issue, we want to be able to enable some of these event channels since it will help in triaging and diagnosing system issues.

При необходимости можно включить дополнительные каналы событий на каждом узле сервера в кластере. Однако этот подход представляет две проблемы: You could enable additional event channels on each server node in your cluster as needed; however, this approach presents two problems:

  1. Необходимо не забывайте включать одни и те же каналы событий на каждый новый узел сервера, добавляемый в кластер. You have to remember to enable the same event channels on every new server node that you add to your cluster.
  2. При диагностике может быть утомительным, чтобы включить определенные каналы событий, воспроизвести ошибку и повторить этот процесс до возникновения основной причины. When diagnosing, it can be tedious to enable specific event channels, reproduce the error, and repeat this process until you root cause.

Чтобы избежать этих проблем, можно включить каналы событий при запуске кластера. To avoid these issues, you can enable event channels on cluster startup. Список включенных каналов событий в кластере можно настроить с помощью общедоступного свойства енабледевентлогс. The list of enabled event channels on your cluster can be configured using the public property EnabledEventLogs. По умолчанию включены следующие каналы событий: By default, the following event channels are enabled:

Ниже приведен пример выходных данных. Here’s an example of the output:

Свойство енабледевентлогс — это многострочный, где каждая строка имеет вид: имя канала, уровень журнала, ключевое слово-Mask. The EnabledEventLogs property is a multistring, where each string is in the form: channel-name, log-level, keyword-mask. Ключевое слово-Mask может быть шестнадцатеричным (префиксом 0x), восьмеричным (префиксом 0) или десятичным числом (без префикса). The keyword-mask can be a hexadecimal (prefix 0x), octal (prefix 0), or decimal number (no prefix) number. Например, чтобы добавить новый канал событий в список и настроить как на уровне журнала , так и на ключевое слово-маску , можно выполнить следующие действия. For instance, to add a new event channel to the list and to configure both log-level and keyword-mask you can run:

Если вы хотите задать уровень ведения журнала , но не заключайте ключевое слово-Mask в значение по умолчанию, можно использовать одну из следующих команд: If you want to set the log-level but keep the keyword-mask at its default value, you can use either of the following commands:

Если вы хотите, чтобы уровень журнала был установлен по умолчанию, но задается ключевое слово-Mask , можно выполнить следующую команду: If you want to keep the log-level at its default value, but set the keyword-mask you can run the following command:

Читайте также:  Сколько меняется имя и фамилия в вк

Если вы хотите, чтобы оба уровня журнала и ключевое слово-Mask были включены в значения по умолчанию, можно выполнить любую из следующих команд: If you want to keep both the log-level and the keyword-mask at their default values, you can run any of the following commands:

Эти каналы событий будут включены на каждом узле кластера при запуске службы кластеров или при изменении свойства енабледевентлогс . These event channels will be enabled on every cluster node when the cluster service starts or whenever the EnabledEventLogs property is changed.

Идет сбор журналов Gathering Logs

После включения каналов событий можно использовать думплогкуери для сбора журналов. After you have enabled event channels, you can use the DumpLogQuery to gather logs. Свойство типа общедоступного ресурса думплогкуери является значением мутистринг. The public resource type property DumpLogQuery is a mutistring value. Каждая строка является запросом XPath, как описано здесь. Each string is an XPATH query as described here.

При устранении неполадок, если необходимо получить дополнительные каналы событий, можно изменить свойство думплогкуери , добавив дополнительные запросы или изменив список. When troubleshooting, if you need to collect additional event channels, you can a modify the DumpLogQuery property by adding additional queries or modifying the list.

Для этого сначала протестируйте запрос XPATH с помощью командлета PowerShell Get-WinEvent : To do this, first test your XPATH query using the get-WinEvent PowerShell cmdlet:

Затем добавьте запрос к свойству думплогкуери ресурса: Next, append your query to the DumpLogQuery property of the resource:

Если вы хотите получить список запросов для использования, выполните: And if you want to get a list of queries to use, run:

Сбор отчетов отчеты об ошибках Windows Gathering Windows Error Reporting reports

Отчеты об ошибках Windows отчеты хранятся в %програмдата%микрософтвиндовсвер Windows Error Reporting Reports are stored in %ProgramData%MicrosoftWindowsWER

В папке WER папка репортскуеуе содержит отчеты, которые ожидают передачи в Watson. Inside the WER folder, the ReportsQueue folder contains reports that are waiting to be uploaded to Watson.

Ниже приведен пример выходных данных. Here’s an example of the output:

В папке WER папка репортсарчиве содержит отчеты, которые уже были отправлены в Watson. Inside the WER folder, the ReportsArchive folder contains reports that have already been uploaded to Watson. Данные в этих отчетах удаляются, но файл Report. wer сохраняется. Data in these reports is deleted, but the Report.wer file persists.

Ниже приведен пример выходных данных. Here’s an example of the output:

Отчеты об ошибках Windows предоставляет множество параметров для настройки отчетов о проблемах. Windows Error Reporting provides many settings to customize the problem reporting experience. Дополнительные сведения см. в документациипо отчеты об ошибках Windows. For further information, please refer to the Windows Error Reporting documentation.

Устранение неполадок с помощью отчетов отчеты об ошибках Windows Troubleshooting using Windows Error Reporting reports

Не удалось подключить физический диск к сети Physical disk failed to come online

Чтобы диагностировать эту проблему, перейдите в папку отчетов WER: To diagnose this issue, navigate to the WER report folder:

Ниже приведен пример выходных данных. Here’s an example of the output:

Затем начните рассмотрение файла Report. wer , чтобы узнать, что не удалось выполнить. Next, start triaging from the Report.wer file — this will tell you what failed.

Так как ресурс не удалось перевести в режим «в сети», дампы не были собраны, но отчеты об ошибках Windows отчет собирает журналы. Since the resource failed to come online, no dumps were collected, but the Windows Error Reporting report did collect logs. Если открыть файлы . evtx с помощью анализатора сообщений Майкрософт, вы увидите всю информацию, собранную с помощью следующих запросов, по системному каналу, каналу приложений, каналам диагностики отказоустойчивого кластера и другим Универсальные каналы. If you open all .evtx files using Microsoft Message Analyzer, you will see all of the information that was collected using the following queries through the system channel, application channel, failover cluster diagnostic channels, and a few other generic channels.

Ниже приведен пример выходных данных. Here’s an example of the output:

Анализатор сообщений позволяет записывать, отображать и анализировать трафик протокола обмена сообщениями. Message Analyzer enables you to capture, display, and analyze protocol messaging traffic. Она также позволяет отслеживать и оценивать системные события и другие сообщения от компонентов Windows. It also lets you trace and assess system events and other messages from Windows components. Вы можете скачать анализатор сообщений Майкрософт отсюда. You can download Microsoft Message Analyzer from here. При загрузке журналов в анализаторе сообщений вы увидите следующие поставщики и сообщения из каналов журнала. When you load the logs into Message Analyzer, you will see the following providers and messages from the log channels.

Читайте также:  Как настроить интернет летай на компьютере

Вы также можете группировать по поставщикам, чтобы получить следующее представление: You can also group by providers to get the following view:

Чтобы выяснить причину сбоя диска, перейдите к событиям в разделе фаиловерклустеринг/Diagnostic and фаиловерклустеринг/диагностиквербосе. To identify why the disk failed, navigate to the events under FailoverClustering/Diagnostic and FailoverClustering/DiagnosticVerbose. Затем выполните следующий запрос: EventLog. EVENTDATA ["логстринг"] содержит "диск кластера 10" . Then run the following query: EventLog.EventData["LogString"] contains "Cluster Disk 10". В результате вы получите следующие выходные данные: This will give you give you the following output:

Время ожидания физического диска истекло Physical disk timed out

Чтобы диагностировать эту проблему, перейдите в папку отчетов WER. To diagnose this issue, navigate to the WER report folder. Папка содержит файлы журнала и файлы дампа для RHS, ClusSvc. exeи процесса, в котором размещается служба "смфост", как показано ниже: The folder contains log files and dump files for RHS, clussvc.exe, and of the process that hosts the “smphost” service, as shown below:

Ниже приведен пример выходных данных. Here’s an example of the output:

Затем начните рассмотрение файла Report. wer , чтобы узнать, какой вызов или ресурс является зависанием. Next, start triaging from the Report.wer file — this will tell you what call or resource is hanging.

Список служб и процессов, собранных в дампе, управляется следующим свойством: PS C:Windowssystem32 > (Get-Клустерресаурцетипе-Name "физический диск"). думпсервицессмфост The list of services and processes that we collect in a dump is controlled by the following property: PS C:Windowssystem32> (Get-ClusterResourceType -Name "Physical Disk").DumpServicesSmphost

Всем пользователям знакома ситуация, когда приложение Windows завершается некорректно и выдает диалоговое окно с уведомлением. Из этой познавательной статьи Вы узнаете что это такое, где хранятся файлы и как она работает вообще.

С Windows Vista вместо старого «инструмента анализа системных сбоев или аварий» пришла новая Windows Error Reporting (WER) – Служба регистрации ошибок Windows (другие названия – Отчеты о проблемах и их решениях, Отчеты о проблемах и решения).

Эта служба представляет собой набор файлов, которые расположены в системной папке WindowsSystem32 . Список файлов и их назначение представлены под спойлером:

Эти сигнатуры никуда не удаляются и находятся в системных папках по пути

UsersMasterAppDataLocalMicrosoftWindowsWERReportArchive
каждый отчет сохраняется в новой (или существующей) папке Report******** (например, Report0b003f38), в файле Report.wer.

Если зайти в этот каталог и просмотреть содержание, то можно увидеть следующее:

Как запустить службу Отчеты о проблемах и их решениях
Пуск –> Панель управления –> Отчеты о проблемах и их решениях

На этом познавательная статья о регистрации и отчетах ошибок считается закрытой.

Система отчета об ошибках Windows Error Reporting (WER) является сложным механизмом, автоматизирующим представление сбоев процессов пользовательского режима и режима системных сбоев.

Windows Error Reporting может быть настроена путем перехода в Панель управления (Control Panel) и выбора Центр поддержки (Action Center) -> Настройка центра поддержки (Change Action Center) -> Параметры отчета о неполадках (Problem Reporting Settings).

Когда фильтр необработанных исключений, упомянутый в предыдущем разделе, отлавливает такое исключение, он создает контекстную информацию (например, текущее значение регистров и стека) и открывает подключение ALPC-порта к WER-службе. Эта служба приступает к анализу состояния аварийной программы и выполняет соответствующие действия по уведомлению пользователя. Во многих случаях это означает запуск программы WerFault.exe, которая выполняется с полномочиями текущего пользователя, и пока система не настроена на обратное, выводит окно сообщения, информирующее пользователя об аварии. На системах с установленным отладчиком показаны дополнительные возможности по отладке показанного процесса, что можно увидеть на рисунке.

При щелчке на пункте отладки (Debug) будет запущен отладчик (зарегистрированный в строке Debugger, рассмотренном ранее параметре AeDebug), чтобы подключиться к аварийному процессу.

Диалоговое окно Windows Error Reporting.

На системах с исходными настройками отчет об ошибке (мини-дамп и XML-файл с различными подробностями, например, с номерами версий DLL-библиотек, загруженных в процессе) отправляется на интернет-сервер Microsoft, занимающийся анализом аварийных ситуаций. Затем, когда служба уведомляется о решении для проблемы, она выводит подсказку, информирующую пользователя о его действиях, которые нужно выполнить для решения проблемы.

Входящее сообщение будет также отображено в Центре поддержки. Кроме того, в Мониторе стабильности системы (ReliabilityMonitor) будут также показаны все экземпляры аварий приложений и системы.

ПРИМЕЧАНИЕ. WER будет активно (визуально) информировать пользователя аварийного приложения только в том случае, когда приложение имеет как минимум одно видимое интерактивное окно. В противном случае авария будет занесена в журнал, но пользователю придется вручную зайти в Центр поддержки для просмотра соответствующей записи. Такое поведение призвано избавить пользователя от путаницы, не выводя диалогового окна WER, относящегося к невидимым аварийным процессам, о которых пользователь может не знать, например, о службе, выполняемой в фоновом режиме.

В окружениях, где системы не подключены к Интернету или где администратор хочет контролировать, какие именно отчеты об ошибках будут представлены Microsoft, место назначения отчета об ошибках может быть настроено на внутренний файловый сервер. Средство MicrosoftSystemCenterDesktopErrorMonitoringпонимает структуру каталогов, созданных WindowsErrorReporting, и предоставляет администратору возможность получить избирательные отчеты об ошибках и отправить их компании Microsoft.

Читайте также:  Microsoft access 2007 windows 10

Если все рассмотренные операции должны были произойти в контексте сбойного потока, то есть как часть изначально установленного фильтра необработанных исключений, то иногда для слишком поврежденного потока может не получиться выполнить все эти довольно сложные шаги, и сбой может возникнуть в самом фильтре необработанных исключений. Такую «тихую смерть процесса» нельзя будет зарегистрировать, что затруднит отладку, а также выразится в невидимых сбоях в тех случаях, когда на машине не будет ни одного пользователя.

Чтобы избежать подобных проблем, если сбой произошел в самом фильтре необработанных исключений, имеющийся в Windows механизм WER выполняет эту работу вне аварийного потока, что позволяет зарегистрировать любую аварию процесса или потока и уведомить о ней пользователя.

WER содержит множество настраиваемых параметров, к которым пользователь может получить доступ через редактор групповой политики (Group Policy) или внося изменения в реестр вручную. В таблице представлен список вариантов настройки WER в реестре, показано их использование и возможные значения.

Эти значения находятся в подразделе HKLMSOFTWAREMicrosoftWindows Windows Error Reporting для настроек компьютера и в аналогичном пути в разделе HKEY_CURRENT_USER для настройки для каждого пользователя.

Настройки WER в реестре.

Настройка Смысл Значение
ConfigureArchive Содержание архивных данных 1 — для параметров, 2 — для всех данных
ConsentDefaultConsent Какие данные должны требовать согласия 1— для любых данных, 2 — только для параметров, 3 — для параметров и безопасных данных, 4 — для всех данных.
ConsentDefaultOverrideBehavior Должен ли
DefaultConsent замещать значения согласия дополнительного модуля WER
1 — для разрешения замещения
ConsentPluginName Значение согласия для конкретного дополнительного модуля WER То же самое, что и для
DefaultConsent
CorporateWERDirectory Каталог для общего хранилища WER Строка, содержащая путь
CorporateWERPortNumber Порт, используемый для
общего хранилища WER
Номер порта
CorporateWERServer Имя, используемое для общего хранилища WER Строка, содержащая имя
CorporateWERUseAuthentication Использование для
общего хранилища WER встроенной аутентификации Windows (Windows
Integrated Authentication)
1— для разрешения встроенной аутентификации
CorporateWERUseSSL Использование для
общего хранилища WER протокола защищенных сокетов (SSL)
1 — для разрешения SSL
DebugApplications Список приложений, требующих от пользователя выбора между отладкой (Debug) и продолжением (Continue) 1— для предоставления
пользователю возможности
выбора
DisableArchive Включен ли архив 1 — для выключения архива
Disabled Выключена ли служба WER 1 — для выключения WER
DisableQueue Определение необходимости постановки
отчетов в очередь
1 — для выключения очереди
DontShowUI Выключение или включение WER UI 1 — для выключения UI
DontSendAdditionalData Предотвращение отправки дополнительных данных об аварии 1 — не отправлять
ExcludedApplicationsAppName Список приложений, исключенных из WER Строка, содержащая список
приложений
ForceQueue Нужно ли отчеты отправлять в очередь пользователя 1 — для отправки отчетов в очередь
LocalDumpsDumpFolder Путь, который нужно использовать для хранения дапм-файлов Строка, содержащая путь
LocalDumpsDumpCount Максимальное количество дапм-файлов в пути Счетчик
LocalDumpsDumpType Тип дампа, генерируемого при аварии 0 — для специального дампа, 1 — для мини-дампа, 2 — для полного дампа
LocalDumpsCustomDumpFlags Для специальных дампов, указывает их специализацию Значения, определенные в MINIDUMP_TYPE
LoggingDisabled Включение или выключение ведения журнала 1 — для выключения ведения журнала
MaxArchiveCount Максимальный размер архива (в файлах) Значение в диапазоне 1–5000
MaxQueueCount Максимальный размер очереди Значение в диапазоне 1–500
QueuePesterInterval Дни между запросами, чтобы пользователь мог проверить решения Количество дней

ПРИМЕЧАНИЕ. Значения, перечисленные в параметре LocalDumps, могут также быть настроены для каждого приложения путем добавления имени приложения в пути подраздела между LocalDumps и соответствующим значением. Но они не могут быть настроены для каждого пользователя, поскольку существуют только в пути HKLM.

Как уже говорилось, для связи с аварийными процессами служба WER использует ALPC-порт. Этот механизм использует общесистемный порт ошибки, который служба WER регистрирует через функцию NtSetInformationProcess (использующую DbgkRegisterErrorPort). В результате все процессы Windows теперь имеют порт ошибки, который на самом деле является объектом ALPC-порта, зарегистрированным службой WER. Ядро, которое уведомляется об исключении в первую очередь, использует этот порт для отправки сообщения службе WER, которая затем анализирует аварийный процесс.