windows系统hung住收集日志方案

windows系统hung住收集日志方案

方法一：直接在问题机器上收集以管理员权限打开cmd，输入下面的命令，然后上传C:/SYSSUM.NFO和c:/hotfix.txt

msinfo32 /nfo C:/SYSSUM.NFO /categories +systemsummarywevtutil epl System C:/system.evtxwevtutil epl Application C:/app.evtxwevtutil epl Setup C:/setup.evtxdism /online /Get-Packages /Format:Table >c:/hotfix.txt

方法二：通过Enter-PSSession远程到问题机器上收集

运行如下power shell命令远程到问题机上。

Enter-PSSession -ComputerName xxx -Credential domain/domainadministratorname

使用robocopy将事件日志拷贝出来。标黄部分可以替换为共享路径

robocopy c:/windows/system32/winevt/logs "//node2/c$/temp" /log:c:/temp.txt

Full Dump配置方法如下：

(1) 需管理员身份运行cmd运行如下指令，需判断磁盘空间是否满足complete dump条件(超过两倍物理内存大小)，假设物理内存大小是16G，pagefile 大小设置为16684(16*1024+200)add "HKLM/System/CurrentControlSet/Control/Session Manager/Memory Management" /v PagingFiles /t REG_MULTI_SZ /d "C:/pagefile.sys 16684 16684" /freg add "HKLM/System/CurrentControlSet/Control/CrashControl" /v DumpFile /t REG_EXPAND_SZ /d "C:/Windows/Memory.dmp" /freg add "HKLM/System/CurrentControlSet/Control/CrashControl" /v CrashDumpEnabled /t REG_DWORD /d 1 /freg add "HKLM/SYSTEM/CurrentControlSet/Services/kbdhid/Parameters" /v CrashOnCtrlScroll /t REG_DWORD /d 0 /freg add "HKLM/SYSTEM/CurrentControlSet/Services/kbdhid/CrashDump" /v Dump1Keys /t REG_DWORD /d 0x20 /freg add "HKLM/SYSTEM/CurrentControlSet/Services/kbdhid/CrashDump" /v Dump2Key /t REG_DWORD /d 0x3d /freg add "HKLM/SYSTEM/CurrentControlSet/Services/i8042prt/Parameters" /v CrashOnCtrlScroll /t REG_DWORD /d 0 /freg add "HKLM/SYSTEM/CurrentControlSet/Services/i8042prt/CrashDump " /v Dump1Keys /t REG_DWORD /d 0x20 /freg add "HKLM/SYSTEM/CurrentControlSet/Services/i8042prt/CrashDump " /v Dump2Key /t REG_DWORD /d 0x3d /f

请务必注意：上述第一条命令是设置page file文件及其大小，对于complete dump，应该设置为物理内存大小加上200MB上述第二条命令是设置crash重启后的dump文件的位置上述第三条命令中的1是设置complete dump。后续命令分别为USB键盘，PS/2键盘以及NMI按钮触发crash的相关设置。

(2) 重启机器使配置生效，等待卡死问题复现(若可以您可以执行具体操作如打开explorer，浏览文件夹等)，复现后等待2min 然后按住左CTRL，然后按2次空格键(键盘需要在问题出现前就连接到服务器上)触发蓝屏触发蓝屏后，需观察蓝屏界面是否有有从0% 到100%的过程，且确认机器在100%后进入到重启状态，然后进入dump配置的路径，获取Memory.DMP文件

同时根据您的描述为VMware虚拟机，对于虚拟机我们可以直接进行收集快照信息，然后转换成为dump文件。

确认系统卡死之后，等待3~5min使现象稳定，按照如下步骤收集快照：

如何在VMware上收集快照(snapshot)?

1) 注意：如果有开启Vmware monitor功能，将其关闭

2) 通过如下方式创建快照

3) 在虚拟机目录中找到快照文件。

4) 快照文件是(.vmsn 或 .vmss)和 .vmem 注意是两个文件

相关信息：​​或 .vmss) 和 .vmem 注意是两个文件

windows

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。