1

Я использую Windows 8 x64. MSSE (переименованный в Защитник Windows) постоянно вызывает BSoD во время быстрого сканирования (проблема описана здесь). Я хочу выяснить, к какому последнему файлу (файлам) он обращался.

Обычно я использую SysInternals Process Monitor для таких задач. Тем не менее, он не имеет возможности сохранять события по мере их генерации, и, поскольку система падает с BSoD, я не вижу никакого вывода.

Знаете ли вы инструмент для мониторинга дискового ввода-вывода, как SysInternals Process Monitor, который сохраняет все данные на жестком диске (конечно, отфильтровывая свой собственный дисковый ввод-вывод)?

|источник

2 ответа2

2

  1. Включить полный аварийный дамп. Нажмите Win+ Pause, перейдите в "Дополнительные параметры системы" → вкладка "Дополнительно" и в разделе "Запуск и восстановление" нажмите "Настройки".

  2. Убедитесь, что ваш файл подкачки достаточно большой, чтобы вместить полный дамп, то есть, по крайней мере, объем оперативной памяти + 256 МБ.

    • перейдите в "Расширенные настройки системы" → вкладка "Дополнительно"

    • в разделе "Производительность" нажмите "Настройки" и перейдите на вкладку "Дополнительно".

    • нажмите «Изменить ..» и выберите "Нестандартный размер"

    • не забудьте нажать Set до OK, просто OK не будет работать

    Если после этого на системном диске остается меньше (25 ГБ + объем ОЗУ), выполните следующие действия:

    • открыть Regedit

    • перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

    • создать ключ DWORD AlwaysKeepMemoryDump со значением 1

    • перезагружать

  3. Запустите трассировку Xperf (xperf –on DiagEasy из консоли администратора), которая фиксирует активность жесткого диска.

  4. Запустите MSE (или Защитник Windows) и дождитесь сбоя.

  5. Перезагрузитесь в Windows и откройте файл Memory.dmp с помощью WinDbg. Внутри Windbg выполните следующую команду, чтобы увидеть все активные журналы ETW:

    !wmitrace.strdump

  6. Посмотрите, какой номер "NT Kernel Logger". Теперь выполните следующую команду для экспорта данных в файл ETL:

    !wmitrace.logsave 0xNUMBER c:\DISK.etl

  7. Откройте файл ETL в xperfview/WPA и посмотрите на график дискового ввода-вывода, к каким файлам обращались.

|источник
0

Process Monitor может записывать в файл журнала на диске, см. Файл → Резервные файлы.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .