Download PC Repair Tool to quickly find & fix Windows errors automatically
When a Blue Screen of Death error occurs, Windows displays its details and code for a short time and restart the PC. Even sometimes Windows restart so quickly that the users cannot note down the error code. In such situations, BSOD log files can help. In this post, we will show you how to find and view BSOD log files in Windows 11/10.
Windows saves the details of every BSOD error at a specific location. This data is called the BSOD log and is available in the BSOD log files. Windows 11/10 has a built-in log file viewer tool, Event Viewer. Event Viewer not only lists all BSOD error logs but also provides the users with a troubleshooting guide to solve the error.
Windows BSOD log file location
Follow the below-listed steps to view the BSOD logs in Event Viewer.
1] Type “Event Viewer” in the Windows search box and click on the app to launch it.
2] To view the BSOD error logs, you have to create a filter. For this, go to “Action > Create Custom View.”
3] In the Create Custom View window, make sure that you are under the “Filter” tab. Select the time when you have observed the Blue Screen of Death error on your system in the “Logged” drop-down menu. If you know the exact date and time of the BSOD error, you can select the Custom range option.
In my case, I did not know the date and time of the error. That’s why, I left the setting to default, “Any time.”
4] Now, select the checkbox “Error” in the Event level section and select the “By log” radio button. After that, click on the Event logs drop-down menu and expand the “Windows Logs” section. Here, you have to select the following checkboxes:
- Application
- Security
- System
When you are done, click OK.
5] After that, a new window will open where you have to enter the name of the filter you created and click OK to save it.
I saved it with the name System Error Logs. You can view it in the “Custom Views” section on the left panel.
6] After selecting the filter you have just created, you can view all the system error logs in the middle panel of the Event Viewer. To view the BSOD log, you have to find the error with the source “BugCheck.”
Now, click on the “Source” to arrange all the entries under it alphabetically. This will make it easier for you to locate the BugCheck entry.
Under the “General” tab, you can view the error code. Click the “Details” tab to know more about the error.
The message, “The computer has rebooted from a BugCheck” in the General tab indicates that this is a BSOD error.
Now you can easily find BSOD errors and troubleshoot them.
TIP: You can also use BlueScreenView. It is a user-oriented utility that automatically scans all the minidump files which were created after the BSOD crash into a single table. For every crash occurrence, BlueScreenView gives details about the driver that was loaded during the crash, and other crash information in order to easily troubleshoot the problems and locate the suspected problematic drivers.
Read next: How to find ChkDsk results in Event Viewer logs.
Nishant is a tech enthusiast who loves writing about technology and gadgets. He has completed B.Tech. Apart from writing, he likes to spend his time on his plantation.
Download PC Repair Tool to quickly find & fix Windows errors automatically
When a Blue Screen of Death error occurs, Windows displays its details and code for a short time and restart the PC. Even sometimes Windows restart so quickly that the users cannot note down the error code. In such situations, BSOD log files can help. In this post, we will show you how to find and view BSOD log files in Windows 11/10.
Windows saves the details of every BSOD error at a specific location. This data is called the BSOD log and is available in the BSOD log files. Windows 11/10 has a built-in log file viewer tool, Event Viewer. Event Viewer not only lists all BSOD error logs but also provides the users with a troubleshooting guide to solve the error.
Windows BSOD log file location
Follow the below-listed steps to view the BSOD logs in Event Viewer.
1] Type “Event Viewer” in the Windows search box and click on the app to launch it.
2] To view the BSOD error logs, you have to create a filter. For this, go to “Action > Create Custom View.”
3] In the Create Custom View window, make sure that you are under the “Filter” tab. Select the time when you have observed the Blue Screen of Death error on your system in the “Logged” drop-down menu. If you know the exact date and time of the BSOD error, you can select the Custom range option.
In my case, I did not know the date and time of the error. That’s why, I left the setting to default, “Any time.”
4] Now, select the checkbox “Error” in the Event level section and select the “By log” radio button. After that, click on the Event logs drop-down menu and expand the “Windows Logs” section. Here, you have to select the following checkboxes:
- Application
- Security
- System
When you are done, click OK.
5] After that, a new window will open where you have to enter the name of the filter you created and click OK to save it.
I saved it with the name System Error Logs. You can view it in the “Custom Views” section on the left panel.
6] After selecting the filter you have just created, you can view all the system error logs in the middle panel of the Event Viewer. To view the BSOD log, you have to find the error with the source “BugCheck.”
Now, click on the “Source” to arrange all the entries under it alphabetically. This will make it easier for you to locate the BugCheck entry.
Under the “General” tab, you can view the error code. Click the “Details” tab to know more about the error.
The message, “The computer has rebooted from a BugCheck” in the General tab indicates that this is a BSOD error.
Now you can easily find BSOD errors and troubleshoot them.
TIP: You can also use BlueScreenView. It is a user-oriented utility that automatically scans all the minidump files which were created after the BSOD crash into a single table. For every crash occurrence, BlueScreenView gives details about the driver that was loaded during the crash, and other crash information in order to easily troubleshoot the problems and locate the suspected problematic drivers.
Read next: How to find ChkDsk results in Event Viewer logs.
Nishant is a tech enthusiast who loves writing about technology and gadgets. He has completed B.Tech. Apart from writing, he likes to spend his time on his plantation.
Содержание
- «Синий фонарь» включается неожиданно
- Что можно узнать из информации на синем экране
- Как включить функцию создания и сохранения малых дампов памяти
- Как анализировать содержимое минидампов
С синими экранами смерти Windows (Blue Screen of Dead) не сталкивался, пожалуй, только редкий счастливчик. Большинство же из нас имело «счастье» лицезреть сие явление на собственном ПК. И очень многих оно вгоняет в панику: а вдруг компу крышка?
Чтобы не теряться, когда на экране внезапно засветился синий «фонарь», нужно уметь смотреть неприятелю «в лицо». То есть научиться выяснять, что привело к появлению BSoD’a, оценивать, насколько ситуация критична и знать, что делать, чтобы она больше не повторялась.
«Синий фонарь» включается неожиданно
В процессе работы Windows возникает множество ошибок, основную массу которых система устраняет незаметно для пользователя. Но среди них бывают и столь серьезные, что продолжение сеанса работы становится невозможным. Либо возникшая проблема угрожает Windows или железу необратимым повреждением. В таких случаях и выскакивает BSoD. Система как бы говорит пользователю: «Извини, друг, но у меня не было другого выбора. Если бы не аварийное завершение, произошло бы что-то нехорошее».
Синие экраны смерти возникают на любой стадии загрузки и работы компьютера. А приводит к ним следующее:
- Некорректная работа драйверов устройств из-за плохой совместимости с операционной системой, конфликта с другими драйверами, повреждения или изменения параметров.
- Некорректная работа программного обеспечения, чаще того, которое создает собственные службы – антивирусов, файерволов, эмуляторов оборудования и т. п.
- Заражение вредоносными программами.
- Аппаратные неполадки – неисправность оперативной памяти, дисковых накопителей, сетевых, звуковых адаптеров, видеоподсистемы, материнской платы, блока питания и другого оборудования.
- Нештатная работа устройств – перегрев, нестабильное питание, разгон.
- Нарушение обмена данными между устройствами – плохой контакт в разъемах, неисправные кабели и шлейфы.
- Несовместимость устройств.
Кстати, однократный BSoD после подключения к компьютеру нового девайса, если в дальнейшем всё работает без нареканий, можно считать нормой.
Что можно узнать из информации на синем экране
К счастью, подавляющее большинство синих экранов смерти вызывается программными сбоями, которые пользователь может устранить самостоятельно и относительно быстро, не прибегая к переустановке винды. Для программных неполадок характерны рандомные по времени BSoD’ы с одинаковыми или близкими по значению кодами ошибки.
Аппаратные «синяки» чаще возникают в одних и тех же условиях (например, при увеличении нагрузки на видеокарту, попытке открыть объемный файл) и имеют разные коды. Либо эти коды указывают на проблемы конкретного оборудования, как то: ошибки доступа к устройству, невозможность считывания, распознавания.
Однако эти признаки позволяют сделать лишь предположение о причине проблемы. Для ее уточнения необходимы более детальные сведения.
Синий экран смерти Windows 10 выглядит так:
Информацию об ошибке в нем несет строка «Stop code». В моем примере это CRITICAL PROCESS DIED.
Отсканировав телефоном QR-код, который находится здесь же, вы можете перейти на сайт windows com/stopcode, где содержатся общие советы по устранению сбоя. Подсказки от Microsoft иногда полезны, но о причине конкретно вашего случая там ничего нет, а значит, придется искать эти данные в другом источнике, например:
- На компьютерных форумах.
- В справочниках по различным кодам ошибок, в частности, на сайте Docs.Micosoft и в других местах.
Но и это не совсем полные сведения. Каждая ошибка уникальна, и самая точная информация о ней содержится в файле, который система сохраняет на диск в момент сбоя. А именно – в малом дампе памяти, которые мы и будет учиться анализировать. А чтобы такие файлы создавались, необходимо сделать несколько маленьких настроек.
Как включить функцию создания и сохранения малых дампов памяти
Для сохранения дампов памяти на жестком диске системе обязательно нужен файл подкачки, который должен находиться в том же разделе, где папка Виндовс. Его размер может быть от 2 Mb и больше.
- Зайдите через контекстное меню в свойства папки «Компьютер».
- Щелкните в открывшемся окошке кнопку «Дополнительные параметры системы».
- В разделе окна «Загрузка и восстановление» нажмите кнопочку «Параметры».
- В разделе нового окна «Отказ системы» из списка «Запись отладочной информации» выберите «Малый дамп памяти». В качестве места сохранения пусть будет указано «%SystemRoot%Minidump» (%systemroot% — это папка Windows).
На этом настройка закончена. Теперь информация о BSoD’ах будет сохраняться в вышеуказанном каталоге.
Как анализировать содержимое минидампов
Существует разные способы анализа аварийных дампов памяти Windows, но мы познакомимся с самым, на мой взгляд, удобным и простым – при помощи бесплатной утилиты
BlueScreenView
.
BlueScreenView особенно удобна тем, что не требует установки на компьютер громоздких пакетов Debugging Tools for Windows и может запускаться с любого носителя, достаточно кликнуть по одноименному файлу.
Интерфейс утилиты, несмотря на отсутствие русского языка, весьма дружелюбен. Главное окно разделено на 2 половины. Вверху – таблица минидампов — файлов из папки WindowsMinidump с датой и временем создания (колонка Crash Time), кодом ошибки в шестнадцатеричном формате (колонка Bug Check Code), четырьмя ее параметрами и другими сведениями. Впрочем, данные о конкретном сбое удобнее просматривать в отдельном окне, которое открывается двойным щелчком по интересующей строке (показано ниже). Главное окно дает больше информации о проблеме в целом, если BSoD’ы случались неоднократно. В нем легко отслеживать даты происшествий и коды ошибок, по повторяемости которых можно судить о характере неполадки.
Нижняя половина основного окна отображает драйвера, загруженные в память в момент аварийной ситуации по конкретному дампу, выделенному в списке. Строки, подсвеченные розовым, показывают содержимое стека потока событий, а упомянутые в них драйвера имеют самое прямое отношение к причине сбоя.
Разберем для примера один из малых дампов памяти с кодом ошибки 0x00000154. Скажу наперед, что он был вызван заломом шлейфа жесткого диска. Начиная анализ, посмотрим на список драйверов в стеке событий. Здесь нет ничего, кроме ntoskrnl.exe – ядра ОС Windows, которое, конечно, в проблеме не виновато — просто во время сбоя ни одного драйвера в стеке не было, а оно присутствует там всегда.
Далее заглянем в окошко параметров дампа. Здесь тоже не упомянуто ничего, кроме ntoskrnl.exe, значит, проблема вызвана не драйвером.
Идем дальше. Согласно сведениям на сайте Microsoft, ошибка 0x00000154 возникает, когда «компонент хранилища обнаруживает неожиданное исключение» и связана, как правило, с неполадками накопителей.
Для проверки этой версии оценим показатели S.M.A.R.T жесткого диска компьютера, которые отслеживает программа Hard Disk Sentinel. В день аварии здесь появились изменения следующих атрибутов:
- 188 Command Timeout.
- 199 UltraDMA CRC Error Count.
Оба указывают на ошибки передачи данных по интерфейсному кабелю. Тест поверхности харда и проверка файловой структуры отклонений не выявили, поэтому проблема была решена заменой шлейфа.
Рассмотрим еще один случай синего экрана смерти, причиной которого стал антивирус Касперского. BSoD периодически возникал во время запуска Windows 10 и при выходе компьютера из спящего режима.
Ошибка зафиксировалась несколько раз под одним и тем же кодом – 0x000000d1, который означает следующее: «драйвер режима ядра попытался получить доступ к странице памяти в процессе IRQL, который имел слишком высокий приоритет». На этот раз BlueScreenView указал на проблему в драйвере NDIS.sys, отвечающем за сетевые подключения. Значит, высока вероятность, что сбой имеет программное происхождение и связан с чем-то, что использует сеть.
Для выявления виновника потребовалось провести анализ автозагрузки приложений. На раннем этапе запуска операционной системы этого ПК стартовало не слишком много программ, которым разрешен доступ в Интернет, точнее, один Касперский. В подтверждение его причастности я снова обратилась к списку загруженных в память драйверов в BlueScreenView и среди того, что присутствует здесь обычно, обнаружила kl1.sys, принадлежащий антивирусу.
После удаления Касперского синие экраны больше не выскакивали.
Утилита BlueScreenView позволяет анализировать аварийные дампы памяти, полученные не только там, где она запущена, но и на другом компьютере. Для этого не нужно копировать их в папку Windows Minidump своего ПК, которая загружается в программу по умолчанию. Скопируйте их в любое удобное место, например, на рабочий стол, и укажите программе новое расположение каталога, который следует загружать.
Функция выбора папки с файлами дампов находится в меню «Options» — «Advanced Options» (открывается сочетанием клавиш Ctrl + O) и называется «Load from the following minidump folder».
Установив здесь отметку, кликните кнопку «Browse» и найдите нужный каталог в проводнике. Когда захотите вернуть настройки по умолчанию, нажмите «Default».
Вот так за считанные минуты можно узнать причину почти любого синего экрана смерти Windows, а исследовав минидампы в совокупности – выявить источник неполадки и успешно его устранить. Кстати, подсказки, какой драйвер чему принадлежит, можете найти здесь. Там же приведены рекомендации по решению связанных с ними проблем.
Понравилась статья? Оцените её:
Обновлено 26.05.2019
Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org. В прошлый раз мы с вами научились исправлять ошибку 8050800C при обновлении Windows. Сегодня мы разберем не менее интересную и на мой взгляд, часто случающуюся ситуацию, когда у вас во время работы вашего устройства, будь то, ноутбук или компьютер, может и планшет, появляется синий экран смерти BSOD. Зачастую для людей это просто экран с непонятными кодами и записями, который не несет для них практически ни какой информации. Уверен, что на любом компьютерном форуме есть несколько топиков, где обсуждаются возможные причины, но по своему опыту могу сказать, что подавляющее количество людей, кто там дает советы мягко говоря некомпетентны, так как их советы чаще всего сводятся к банальностям, или же сами пострадавшие толком не могут предоставить диагностическую информацию, что и влечет за собой отсутствие решения и банальной переустановкe Windows. Сегодня я вам покажу инструмент, который поможет вам досконально понять причины синего экрана Windows 10 и другие ее аналоги.
Назначение синего экрана
В интернете уже сто миллионов раз давали, так что смысла нет повторятся, если в двух словах, то:
Обычно синий экран смерти, сокращенно называемый BSOD, является синей полноэкранной ошибкой, которая часто появляется после очень серьезного сбоя системы.
«Синий экран смерти» на самом деле является просто популярным названием для того, что технически называют сообщением остановки или ошибкой остановки.
Помимо официального названия, BSOD также иногда называют Blue Screen of Doom, экран проверки ошибок, сбой системы, ошибка ядра или просто ошибка синего экрана.
BSOD существуют с самого создания Windows и были гораздо более распространены тогда, только потому , что, так сказать, аппаратное обеспечение , программное обеспечение и сама Windows были более «глючными».
От Windows 95 до Windows 10 синий экран смерти не сильно изменился. Темно-синий фон и серебряный текст. Множество бесполезных данных на экране.
Что вызывает синие экраны смерти
Синие экраны обычно возникают из-за проблем с оборудованием вашего компьютера или из-за проблем с его программным обеспечением. Иногда они могут быть вызваны проблемами с программным обеспечением низкого уровня, работающим в ядре Windows. Обычные приложения чаще всего не могут вызывать синие экраны. Если приложение выходит из строя, оно вылетит с ошибкой, но не затронет операционную систему.
Синий экран появляется, когда Windows обнаруживает «STOP Error«. Этот критический сбой приводит к сбою Windows и прекращению работы. Единственное, что Windows может сделать в этот момент, это перезагрузить компьютер. Это может привести к потере данных, так как программы не имеют возможности сохранить свои открытые данные.
Когда появляется синий экран, Windows автоматически создает файл «minidump» или полный дамп Memory.DMP, который содержит информацию о сбое и сохраняет ее на диск. Вы можете просмотреть информацию об этих мини-дампах, чтобы помочь определить причину синего экрана.
Синие экраны также выглядят по разному, в зависимости от того, какую версию Windows вы используете. В Windows 7 и предыдущих версиях синий экран очень напоминал экран терминала, отображая всевозможную информацию.
В Windows 8 и 10 синие экраны намного проще.
В большинстве случаев вся информация появляющаяся на экране для вас бесполезна по нескольким вещам:
- Во первых вы чаще всего его даже не увидите, так как система после BSOD произведет перезагрузку
- Во вторых если говорить про blue screen of death если и будет запечатлен на экране будет иметь, чисто техническую информацию и мало, что вам сможет рассказать об истинных причинах сбоя, тут только поможет анализ дампа памяти.
Примеры распространенных синих экранов
Вот небольшой список, самых частых ситуаций с blue screen of death в Windows платформах, но поверьте его можно продолжать очень, и очень долго.
- STOP 0x00000050
- Синий экран dpc watchdog violation
- Whea uncorrectable error
- HAL INITIALIZATION FAILED
Ни на одном из них вы не выявите причину синего экрана, и мне кажется это правильным, что Microsoft пошла таким путем. Если кому-то интересно, то существуют и зеленые экраны ошибок и пурпурные экраны смерти, например в Vmware ESXI.
Утилиты диагностики синего экрана
Существует две утилиты. которые вам могут дать информацию, о причинах возникновения BSOD:
- Первая, бесплатная и на мой взгляд малополезная именуется, как BlueScreenView
- Вторая имеет максимальный инструментарий по диагностике, и разработана самим вендоров. Я говорю про Microsoft Kernel Debugger или WinDbg (Debugging Tools for Windows). Я не представляю, как можно без этой утилиты стопроцентно выявить из-за чего происходит «STOP Error» в системе. В данной статья, я сделаю подробный разбор данного инструмента.
Где искать файл дампа (MEMORY.DMP)
Перед тем, как мы научимся выявлять причины BSOD, я хочу вам напомнить, где располагается нужные для диагностики файлы. Определить нужное расположение можно из окна настроек системы. Для этого перейдите в свойства моего компьютера или нажмите одновременно клавиши WIN и Pause Break.
Далее находясь в окне свойств системы, выберите пункт «Дополнительные параметры системы».
На вкладке «Дополнительно» найдите раздел «Загрузка и восстановление», где от вас потребуется нажать «Параметры». В открывшемся окне вы можете посмотреть путь до файла дампа, по умолчанию, это %SystemRoot%MEMORY.DMP. Означает на практике C:WindowsMEMORY.DMP. Вы можете задать свое место, на любом другом диске.
Так же у вас есть возможность не создавать полный дамп, а заменять его мини дампом, меньшего размера.
Различия между файлами полного дампа памяти и файлами мини дампа
Файл дампа памяти может собирать различную информацию. Как правило, у инженера службы поддержки должно быть все содержимое виртуальной памяти для устранения проблемы. В других случаях вам может потребоваться собрать меньше информации, чтобы сосредоточиться на конкретной проблеме. Отладчик гибкий. Эта гибкость позволяет ограничить информацию, которую захватывает файл дампа памяти, собирая либо файлы полного дампа памяти, либо файлы мини-дампа памяти.
Полный дамп памяти файлов. Эти файлы содержат содержимое виртуальной памяти для процесса. Эти файлы наиболее полезны при устранении неполадок неизвестных проблем. Инженер службы поддержки может использовать эти файлы для поиска в любой области памяти, чтобы найти любой объект, найти переменную, которая была загружена в любой стек вызовов, и разобрать код, чтобы помочь диагностировать проблему. Недостаток файлов полного дампа памяти в том, что они большие. Для сбора этих файлов может также потребоваться дополнительное время, и записываемый процесс должен быть заморожен во время создания файла дампа.
Мини-дамп памяти файлов. Файл мини-дампа более настраиваемый, чем файл полного дампа, и может иметь размер от нескольких мегабайт (МБ) до размера файла полного дампа. Размер отличается из-за объема виртуальной памяти, которую отладчик записывает на диск. Несмотря на то, что вы можете быстро собирать мини-файлы дампа памяти, они небольшие, но у них также есть недостаток. Файлы мини-дампа могут содержать гораздо меньше информации, чем файлы полного дампа. Информация, которую собирает файл мини-дампа, может быть практически бесполезной для инженера службы поддержки, если область памяти, которую должен изучить специалист службы поддержки, не была захвачена, то он не сможет понять толком причину. Например, если память кучи не записывается в файл дампа памяти, инженер службы поддержки не может проверить содержимое сообщения, которое обрабатывалось во время возникновения проблемы.
Поэтому я вам рекомендую оставлять полный файл MEMORY.DMP, если не хватает места на SSD диске ,то перенесите его в другое место
Узнаем причину синего экрана в BlueScreenView
BlueScreen — это бесплатная утилита, входящая в состав nirsoft, напоминаю, что данный сборник инструментов мы использовали, когда нам необходимо было узнать пароли сохраненные в браузере(/kak-posmotret-sohranennyie-paroli-v-brauzerah/), она сканирует все ваши файлы мини-дампов, созданные во время сбоев «синего экрана смерти», и отображает информацию обо всех сбоях в одной таблице. Для каждого сбоя BlueScreenView отображает имя файла мини-дамп, дату/время сбоя, основную информацию о сбое, отображаемую на синем экране (код проверки ошибки и 4 параметра), а также сведения о драйвере или модуле, которые могли вызвать сбой (имя файла, название продукта, описание файла и версия файла).
Для каждого сбоя, отображаемого в верхней панели, вы можете просмотреть подробную информацию о драйверах устройств, загруженных во время сбоя, в нижней панели. BlueScreenView также помечает драйверы, которые их адреса нашли в стеке аварийного отказа, так что вы можете легко найти подозреваемые драйверы, которые, возможно, вызвали сбой.
Скачать BlueScreenView можно с официального сайта https://www.nirsoft.net/utils/blue_screen_view.html
И так, предположим, что на одной виртуальной машине ESXI или физическом сервере, произошел синий экран, я получил файл полного дампа памяти MEMORY.DMP и мне необходимо выяснить причину сбоя. Открываем утилиту BlueScreenView. Утилита по умолчанию находит файлы дампов памяти в стандартных местах, но если вы анализируете MEMORY.DMP не на сервере, где случился BSOD, а на своем сервере, то вы можете указать ему путь до файла, для этого нажмите самый левый, верхний значок и в открывшемся окне «Advanced Options» выберите пункт «Load a single MiniDump File». Там с помощью кнопки «Browse» найдите ваш файл MEMORY.DMP и нажмите «Ok».
У вас в списке файлов появится ваш дамп. Тут вы можете увидеть столбцы с различной информацией:
- Время выпадания BSOD
- Сообщение ошибки, в моем случае, это PAGA_FAULT_IN_NONPAGED_AREA
- Код ошибки 0x00000050
- И столбцы с параметрами
Если вы щелкните двойным кликом по нужной записи дампа памяти, то у вас откроется окно свойств, с той же информацией, единственный там будет плюс, что вы сможете скопировать имя и код ошибки. Вот согласитесь, что информации кот наплакал, и если синий экран имеет размытую формулировку ,вы будите шерстить сотни форумов в надежде отыскать причину BSOD. Поэтому данный инструмент лично я считаю малополезным и предлагаю, перейти к профессиональному от компании Microsoft.
Выявляем причины синего экрана windows в Microsoft Kernel Debugger
Итак, когда речь идет, о BSOD, то продвинутые пользователи сразу вспоминают программу Microsoft Kernel Debugger или WinDbg (Debugging Tools for Windows). WinDbg — это многоцелевой отладчик для Windows, распространяемый Microsoft. Отладка — это процесс поиска и устранения ошибок в системе; в вычислительной технике это также включает изучение внутренней работы программного обеспечения. Его можно использовать для отладки приложений пользовательского режима, драйверов устройств и самой операционной системы в режиме ядра. Как и более известный отладчик Visual Studio, он имеет графический интерфейс пользователя (GUI).
WinDbg может использоваться для отладки дампов памяти в режиме ядра, созданных после того, что обычно называют «голубым экраном смерти», возникающим при выполнении проверки на наличие ошибок. Его также можно использовать для отладки аварийных дампов в пользовательском режиме. Это известно как посмертная отладка.
WinDbg может автоматически загружать файлы отладочных символов (например, файлы PDB ) с сервера, сопоставляя различные критерии (например, временную метку, CRC, одиночную или многопроцессорную версию) через SymSrv (SymSrv.dll), вместо более трудоемких задач создания дерева символов для отладочной целевой среды. У Microsoft есть общедоступный символьный сервер, который имеет большинство общедоступных символов для Windows 2000 и более поздних версий Windows (включая пакеты обновления).
Подробнее почитать про WinDbg вы можете по ссылке
Установка Microsoft Kernel Debugger
Установить WinDbg вы можете двумя методами:
- Microsoft Kernel Debugger входит в состав SDK, именно от туда вы можете его загрузить
- Microsoft Kernel Debugger можно скачать отдельным пакетом, но не всегда есть самые актуальные версии
Переходим на страницу SDK. У вас есть возможность скачать тонкий клиент, где потом придется выкачивать все из интернета, или же вы скачиваете ISO образ имеющий все пакеты, но он весит больше и подходит для сред, где нет интернета.
Скачать SDK https://developer.microsoft.com/ru-ru/windows/downloads/windows-10-sdk
Предположим, что вы выбрали метод с тонким клиентом, где у вас был скачан файл winsdksetup.exe. Обращаю внимание, что установить Microsoft Kernel Debugger вы можете на любую систему из списка:
- Windows 10 версии 1507 или более поздняя версия
- Windows Server 2012 R2 (только для командной строки) Windows Server 2016 (только для командной строки)
- Windows 8.1
- Windows Server 2012 R2
- Windows 7 с пакетом обновления 1 (SP1)
Запускаем winsdksetup.exe, убедитесь, что у вас есть доступ в интернет и 5-6 ГБ свободного, дискового пространства.
У вас откроется мастер установки SDK Windows, на выбор будет два варианта, первый это установка в стандартное расположение и второй вариант, это загрузка Windows Software Development Kit в нужное вам расположение, для последующей Offline установки. Я выберу первый вариант. Кстати второй вариант даст вам возможность получить отдельный MSI файл с WinDbg.
Далее вы можете подписаться на отправку анонимной статистики в программе качества, я не стал.
Принимаем лицензионное соглашение SDK нажимая «Accept».
Снимаем все пункты, кроме «Debugging Tools for Windows» и нажимаем Install.
Начнется процесс установки WinDbg.
Все утилита диагностики синих экранов установлена.
Диагностика BSOD в WinDbg
Первое, что я вам советую сделать, так это включить для форматов файлов .DMP, .HDMP, .MDMP, .KDMP и .WEW ассоциацию с Microsoft Kernel Debugger, чтобы при двойном клике по дампу памяти или минидампу, он сразу открывался в утилите. НО ЭТО НА ЛЮБИТЕЛЯ. Если вы хотите включить ассоциации файлов, то откройте вашу командную строку и выполните команду для перехода в нужный каталог:
cd C:Program FilesWindows Kits10Debuggersx64 если у вас x-86 система, то выполните cd C:Program Files (x86)Windows Kits10Debuggersx86
И затем выполните команду:
Открываем пуск и находим там Windows Kit, в котором выберите нужный вам исполняемый файл.
Следующим шагом подключаются Symbol File Path, чтобы вы могли иметь самую актуальную базу ошибок, которая будет кэшироваться у вас на локальных дисках. Для этого в меню «File» найдите пункт Symbol File Path
В открывшемся окне введите: SRV*C:SymCache*http://msdl.microsoft.com/download/symbols. Все будет кэшироваться в папку C:SymCache. Сохраняем настройки.
Ну, что начинаем искать причины синего экрана windows, для этого загружаем в утилиту свой дамп памяти. Для этого вы можете открыть в меню пункт «File — Open Crash Dump».
Когда вы откроете файл дампа отладчику потребуется некоторое время для подключения к интернету и загрузки необходимых символов для отладки. В процессе загрузки отладочных символов в командной строке отладчика появляется надпись Debugee not connected, в это время вы не сможете использовать отладчик.
После загрузки нужных данных для диагностики дампа памяти.Вам необходимо нажать ссылку «For analysis ot this run file !analize -v»
Будет выведено много информации, где можно посмотреть сбойные адреса памяти, драйвера, сбойные модули, как в моем случае srv. Обратите внимание, что все ссылки в отчете кликабельны и дадут дополнительную информацию, об ошибках.
Вот пример моей диагностической информации, которую можно выложить на профильном форуме для вопроса.
THREAD_SHA1_HASH_MOD_FUNC: 9fc67a809a80c1143874aa0b8e74457296ca0384
THREAD_SHA1_HASH_MOD_FUNC_OFFSET: b0555fe5a3c19294e9394f289acff2322d3a2abf
THREAD_SHA1_HASH_MOD: 8f10e91895468b5b2a56df2106350f23f731e5ce
FOLLOWUP_IP:
srv!SrvOs2FeaToNt+48
fffff801`7af94360 c60300 mov byte ptr [rbx],0FAULT_INSTR_CODE: f0003c6
SYMBOL_STACK_INDEX: 4
SYMBOL_NAME: srv!SrvOs2FeaToNt+48
FOLLOWUP_NAME: MachineOwner
STACK_COMMAND: .thread ; .cxr ; kb
BUCKET_ID_FUNC_OFFSET: 48
FAILURE_BUCKET_ID: AV_srv!SrvOs2FeaToNt
BUCKET_ID: AV_srv!SrvOs2FeaToNt
PRIMARY_PROBLEM_CLASS: AV_srv!SrvOs2FeaToNt
TARGET_TIME: 2019-03-28T05:20:55.000Z
OSBUILD: 9600
OSSERVICEPACK: 0
SERVICEPACK_NUMBER: 0
OS_REVISION: 0
SUITE_MASK: 272
PRODUCT_TYPE: 3
OSPLATFORM_TYPE: x64
OSNAME: Windows 8.1
OSEDITION: Windows 8.1 Server TerminalServer SingleUserTS
OS_LOCALE:
USER_LCID: 0
OSBUILD_TIMESTAMP: 2015-07-15 19:37:58
BUILDDATESTAMP_STR: 150715-0840
BUILDLAB_STR: winblue_ltsb
BUILDOSVER_STR: 6.3.9600.17936.amd64fre.winblue_ltsb.150715-0840
ANALYSIS_SESSION_ELAPSED_TIME: 61d
ANALYSIS_SOURCE: KM
FAILURE_ID_HASH_STRING: km:av_srv!srvos2featont
FAILURE_ID_HASH: {d5f1a37d-2c94-f55b-5042-7a5dbaa092e1}
Кликнув по сбойному модулю srv, я увидел, что все дело в файле SystemRootSystem32DRIVERSsrv.sys
Очень частые причины BSOD в Windows, это драйвера от сторонних разработчиков, принтеры, другие периферийные устройства, различные утилиты. Если хотите понять есть ли среди них сбойные, то строке, где выполняются команды (Я отметил ее желтой стрелкой) введите !thread и нажмите Enter. У вас появится некая информация, найдите в ней значения base и Limit.
Далее в командной стоке WinDbg вам нужно ввести команду:
dps номер limit номер base. Пример dps ffffd001509cc000 ffffd001509d3000 или можно просто dps будет выведены все драйвера
Пример сбойного драйвера, по которому можно определять откуда растут корни, так сказать причина синего экрана.
В Bugcheck Analisis видно, что сбоил Arg3 fffff8017af94360, If non-zero, the instruction address which referenced the bad memory address. В командной строке WinDbg введите команду:
!irp fffff8017af94360 -force
Пробуем получить причины синего экрана виндовс. На выходе я вижу, что есть проблемы Could not read device object or _DEVICE_OBJECT not found
Вы можете легко сохранить данную информацию из лога и спокойно передавать ее для диагностики на форумах. так же начиная с Windws 10, там появилась встроенная функция устранения неполадок ведущих к синему экрану, найти ее можно в параметрах системы, в разделе «Обновление и безопасность» , далее идем в раздел «Устранение неполадок», где находим пункт «Синий экран». Там будет простой мастер, который попробует устранить проблему.
На этом у меня все, надеюсь, что вы теперь научились, как узнавать причину синих экранов и проводить диагностику. На этом у меня все. С вами был Иван Семин, автор и создатель IT блога Pyatilistnik.org.
Просмотр событий (Event Viewer) — Это журнал в Windows 11/10, который записывает сведения об ошибках, работы служб, системы, приложений и т.п.
Разберем, как искать ошибки приложений, системы в Просмотре событий Windows 11/10 и, как их можно исправить.
Просмотр событий в Windows 11 и 10
1. Чтобы запустить просмотр событий в Windows, нажмите Win+R и введите eventvwr.
2. Разверните графу Журналы Windows и вы обнаружите нужные вам пункты, где была ошибка. Если это системная ошибка, то нужно выбрать пункт Система. Если ошибка в каком-либо приложении, то нужно выбрать Приложение. Выбрав нужный пункт, отсортируйте по дате или уровню ошибки, нажав на столбик.
3. Нажмите дважды на ошибку и вы откроете свойства данного события. Во вкладке Общие будет показана информация о причине ошибки. В моем случае пропало электричество. Нажмите на вкладку Подробности, где будет показы пути и более подробная информация.
Если вы не смогли идентифицировать ошибку, то напишите в Google поиске «Event ID 41 Kernel Power» и посмотрите, что означает данный код. Обычно сразу в первых рядах поиска будет официальный сайт Microsoft с разъяснением и решением данной ошибки.
4. Если нужно скинуть журнал событий кому-либо для анализа, то нажмите правой кнопкой мыши по нужному пункту, где была ошибка, и выберите Сохранить все события как.
5. Чтобы посмотреть ошибки в производительности компьютера с Windows 11/10, то откройте Журналы приложений и служб > Microosft > Windows > Diagnistics-Performance > Работает.
Отсортируйте ошибки по уровню или примерной дате происхождения, нажав на столбики. В данном случае мы видим ошибку встроенного антивируса, который замедлил работу запуска системы Windows 11/10. Я бы не сказал, что это серьезная проблема, просто антивирусу потребовалось в данный момент больше времени для загрузки и предварительного сканирования при включении ПК.
Вывод: Не паникуйте и не пытайтесь исправить все ошибки, которые обнаружите. Ошибки случаются всегда и они могут не влиять на саму работу системы. Смотрите только те ошибки, которые произошли недавно. К примеру, запуск или установка какого-либо приложения выдала ошибку, или приложение не устанавливается или не запускается. Это касается и синего экрана BSOD системы. Другими словами, если у вас возникла ошибка в Windows 11/10, то открывайте «Просмотр событий», чтобы понять, что за ошибка и как её модно устранить.
Смотрите еще:
- Диагностика ошибок синего экрана смерти BSOD Window
- Как проверить оперативную память на ошибки в Windows
- Проверка плохих драйверов с Windows Driver Verifier
- SFC и DISM: Проверка и Восстановление системных файлов в Windows
- CHKDSK: Проверка и восстановление жесткого диска в Windows 10
[ Telegram | Поддержать ]
При возникновении синих экранов BSoD Windows 11, 10 и другие версии системы создают дамп (снимок состояния) оперативной памяти, содержащий отладочную информацию, которую можно использовать для диагностики и определения причин сбоя. Функция обычно включена по умолчанию, но если дампы памяти не создаются, их можно включить: Как включить создание дампов памяти в Windows.
Подробным анализом дампов памяти занимаются разработчики, но и для рядового пользователя, столкнувшегося с синими экранами в Windows это может оказаться полезным: адреса в памяти ему ничего не дадут, но часто можно обнаружить имя файла приложения или драйвера, вызывающее сбой. Здесь помогут специальные программы для анализа дампов памяти, о которых и пойдёт речь далее.
WinDbg
У Майкрософт имеется собственный инструмент отладки и анализа дампов памяти — WinDbg (пока Preview). Скачать его для Windows 11 и Windows 10 можно из Microsoft Store, используя поиск в магазине приложений или прямую ссылку.
Пример простого анализа дампа памяти для обычного пользователя с целью выявления процесса, вызвавшего BSoD с помощью WinDbg:
- Запустите WinDbg от имени Администратора (правый клик по ярлыку в меню «Пуск» — «Запуск от имени администратора»).
- В главном меню программы выберите «Файл» — «Open dump File» и укажите путь к нужному мини-дампу, обычно находящемуся в папке C:WindowsMinidump, нажмите кнопку «Open».
- Введите команду
!analyze -v
в поле ввода команд (либо нажмите по ссылке с командой в верхней панели WinDbg) и дождитесь завершения анализа.
- В панели «Command» в верхней части окна программы будет отображен результат анализа, где, при удаче, вы сможете найти информацию о том, каким процессом был инициирован сбой (PROCESS_NAME).
- Может быть информация о файле драйвера (.sys) в поле IMAGE_NAME и другая информация, позволяющая найти источник проблемы.
Далее полученную информацию можно использовать для того, чтобы найти, каким устройствам соответствуют драйверы в Интернете, выяснить назначение процессов вызвавших сбой, предпринять те или иные действия с целью их устранения.
BlueScreenView
BlueScreenView — очень простая утилита, которая позволяет выбрать файла дампа памяти в списке и посмотреть, какие файлы драйвера и процессы привели к сбою: в окне программы они будут выделены красным цветом.
Скачать BlueScreenView можно с официального сайта разработчика https://www.nirsoft.net/utils/blue_screen_view.html
WhoCrashed
Ещё одна программа для анализа дампов памяти — WhoCrashed. В бесплатной версии предоставляет не так много информации.
После нажатия кнопки «Analyze» имеющиеся дампы памяти анализируются, и на вкладке «Report» выводятся коды ошибок, а также текстовое описание на английском языке о том, что означает этот код и о возможных причинах сбоя.
Официальный сайт WhoCrashed https://www.resplendence.com/whocrashed, судя по всему, не открывается из РФ, но утилиту легко найти и скачать из сторонних источников.
Всякий раз, когда вы сталкиваетесь с ошибкой в Windows, это, безусловно, вызывает беспокойство. Но мы часто не пытаемся выяснить, что вызвало это, или не знаем, как это сделать. Если вы хотите узнать, прочитайте эту статью, чтобы узнать, как проверить журналы ошибок в Windows 11.
Журналы ошибок, как следует из названия, представляют собой файлы журналов, в которых хранится вся информация о том, почему произошла ошибка, о программе или процессе, которые привели к ней, а также о точной дате и времени ее возникновения. Но расшифровать информацию, указанную там, конечно, непросто.
Поэтому мы посвятили это руководство тому, чтобы помочь вам понять, как проверять журналы ошибок в Windows 11, различные типы, добавлять фильтры и очищать их.
Хотя некоторые могут посчитать это расширенным средством устранения неполадок, на самом деле это довольно просто, и все пользователи Windows должны это знать.
Зачем мне нужно проверять журналы ошибок Windows 11?
Прежде чем мы углубимся во весь технический аспект, вам необходимо знать, почему проверка журналов ошибок имеет решающее значение в Windows 11, а также в предыдущих итерациях.
Скажем, ваш компьютер часто выходит из строя или сталкивается с ошибкой BSOD (синий экран смерти). Как узнать основную проблему? Вы заходите в журналы событий, проверяете журнал событий, созданный во время сбоя, просматриваете его и находите его причину.
Звучит просто, верно! Ну, есть и другие сложности, но это должно прояснить, почему важно проверять журналы ошибок в Windows 11.
Однако помните, что вы, скорее всего, встретите здесь много ошибок и предупреждений, и паниковать не о чем. Если вы не замечаете никаких проблем с системой, просто игнорируйте их.
Приложения или службы могут время от времени не загружаться или даже аварийно завершать работу. Но ОС более чем способна исправить эти незначительные проблемы, и если вы столкнетесь с ними, можно безопасно двигаться вперед, если ваш компьютер работает нормально.
Возьмем, к примеру, приведенный ниже пример. Служба vgc, связанная с игрой Valorant, была неожиданно остановлена, но мы не столкнулись с какими-либо проблемами в игре. Скорее всего, Windows удалось бы запустить службу при последующих попытках.
Однако, если бы мы столкнулись с проблемами в игре, этот журнал ошибок помог бы найти их основную причину.
Теперь, когда вы знаете, что проверка журналов ошибок в Windows 11 важна, давайте теперь узнаем, как вы это делаете.
Как проверить журналы ошибок в Windows 11?
- Нажмите Windows+ S, чтобы открыть меню « Поиск », введите « Просмотр событий » в текстовое поле вверху и щелкните соответствующий результат поиска.
- Дважды щелкните Журналы Windows на панели навигации слева.
- Теперь вы найдете пять различных категорий. Выберите любой из них, и все журналы ошибок под ним будут перечислены справа.
- Теперь щелкните любой из журналов ошибок, чтобы просмотреть всю соответствующую информацию о них.
Теперь вы знаете, как проверить журналы ошибок Windows 11, но одного знания этого недостаточно. Еще многое предстоит понять, прежде чем вы сможете разобраться в этих журналах и использовать их в своих интересах.
Как понять журналы ошибок Windows 11?
При просмотре журнала общие сведения и идентификатор события имеют решающее значение для выявления и устранения ошибки. Кроме того, внизу есть ссылка на онлайн-справку по журналу событий, которая может дать ценную информацию.
Например, вот журнал ошибок Windows 11, когда не удалось загрузить соответствующий драйвер для устройства.
Можете ли вы определить, какой драйвер вышел из строя или для какого устройства он был? Вероятно, нет, и мы тоже не были изначально. Но идентификатор события 219 помог узнать много информации вместе с соответствующими исправлениями проблемы.
Результаты поиска Google для идентификатора события 219
Мы только что выполнили поиск в Google для этого идентификатора события, и было множество результатов. Переход от незнания к выяснению точной причины и исправлений занял у нас не более нескольких минут. Но для этого требуется правильное понимание журналов ошибок Windows 11.
Но здесь важно упомянуть, что не все журналы ошибок будут такими описательными. У некоторых могут быть вещи, которые вы не сможете понять или чрезмерно использовать жаргон. В любом случае, простого поиска в Google будет достаточно.
Какие бывают типы журналов ошибок?
Когда вы просматриваете журналы ошибок Windows 11, в основном есть три важные категории, называемые уровнем событий, в которые они помещаются. И категории определяют серьезность события, для которого создается журнал. Эти три категории следующие:
- Информация : они создаются, когда операция проходит успешно. Например, когда драйвер загружается или приложение запускается без каких-либо проблем.
- Предупреждение : они создаются, когда ОС обнаруживает проблему в системе. Эти проблемы не представляют непосредственного риска, но могут стать проблемой в будущем. Например, если у вас мало места на диске, будет создан журнал.
- Ошибка . Это указывает на серьезную проблему, хотя в большинстве случаев Windows также позаботится об этом. Например, если драйвер или служба не загружаются, будет создан журнал ошибок. Но это самые критические из всех.
Если вы идентифицируете проблемы с ПК, игнорируйте информационные журналы, просматривайте журналы предупреждений, но уделяйте особое внимание тем, которые относятся к категории « Ошибка », так как они, скорее всего, зафиксируют проблему, которую вы ищете.
Когда вы открываете средство просмотра событий в Windows 11, в нем будут перечислены все три, но определение всех журналов для одного из этих уровней займет у вас много времени. Здесь вам на помощь приходит фильтрация журналов ошибок. Проверьте следующий раздел, чтобы узнать, как вы можете это сделать.
Как фильтровать журналы ошибок?
- Откройте средство просмотра событий , перейдите к определенной категории журналов слева, а затем нажмите « Фильтровать текущий журнал » справа.
- Затем щелкните раскрывающееся меню «В журнале», чтобы выбрать продолжительность, в течение которой вы хотите проверять журналы.
- Теперь выберите продолжительность времени из списка вариантов. Вы также можете выбрать последний вариант, чтобы создать собственный диапазон.
- После этого установите флажки для уровней событий , которые вы хотите отфильтровать.
- Наконец, нажмите OK внизу, чтобы отфильтровать журналы ошибок.
- Теперь будут перечислены все журналы ошибок, попадающие под выбранные фильтры.
Мы выбрали продолжительность 24 часа и уровень Error и отфильтровали журналы. Затем средство просмотра событий перечислило четыре журнала ошибок Windows 11, которые были созданы за это время.
Как создать собственное представление для проверки журналов определенной категории и уровня в Windows 11?
- Откройте средство просмотра событий и нажмите « Создать пользовательский вид » справа.
- Далее выберите продолжительность и уровень события , как вы делали ранее при создании фильтра.
- Выбрав параметр « По журналам », щелкните раскрывающееся меню « Журналы событий », дважды щелкните запись « Журналы Windows » , чтобы развернуть и просмотреть различные категории, и установите флажки для нужных.
- Теперь нажмите OK внизу, чтобы установить фильтры для нового пользовательского представления.
- Введите имя и описание пользовательского представления и нажмите OK .
- Новое пользовательское представление теперь будет отображаться слева, а все журналы, подпадающие под него, — справа.
Как очистить журналы ошибок в Windows 11?
- Запустите средство просмотра событий , перейдите к соответствующей категории и нажмите « Очистить журнал » в списке параметров справа.
- Теперь у вас есть два варианта: сохранить и очистить журналы ошибок или очистить их напрямую . Выберите нужный вариант.
- Если вы выбрали « Сохранить и очистить », выберите место для файла, добавьте для него имя и нажмите « Сохранить » .
- После сохранения журналы ошибок будут немедленно очищены, и в этой конкретной категории их не будет.
- Если вы сохранили журналы ошибок перед их удалением, их можно найти в разделе «Сохраненные журналы » на панели навигации слева.
ОС создает тысячи журналов для каждого типа событий, будь то успешный запуск драйвера и службы или самые фатальные ошибки. Как и любой другой файл, они также занимают место на вашем жестком диске, независимо от того, насколько он мал.
Итак, если вам не хватает места или вы просто хотите более организованное средство просмотра событий, может помочь очистка журналов ошибок Windows 11.
Как создать собственный файл журнала в Windows 11?
- Нажмите Windows+ S, чтобы открыть меню « Поиск », введите « Блокнот » в текстовое поле вверху и щелкните соответствующий результат поиска.
- Введите .LOG в самую первую строку Блокнота .
- Щелкните меню « Файл » и выберите « Сохранить » из списка параметров.
- Затем выберите местоположение и имя файла и нажмите « Сохранить » внизу. Теперь закройте Блокнот .
- После создания файла журнала текущая дата и время будут упоминаться каждый раз, когда вы его открываете, и вы можете ввести все, что хотите, и нажать Ctrl+ S, чтобы сохранить его.
- Теперь, когда вы откроете тот же файл журнала в следующий раз, ранее добавленная запись будет указана под этой датой и временем, а текущая дата и время снова будут упомянуты под последней записью.
Файл журнала используется в основном для записи данных. Windows использует его для ошибок, предупреждений и информации, а вы можете использовать его для других целей.
Создать файл журнала просто, как и его поддерживать. Скажем, вы хотите записывать прогресс книги, которую вы читаете, просто создайте файл журнала и введите количество страниц, которые вы читаете каждый день, или как вам угодно.
Это все, что вам нужно знать о журналах ошибок Windows 11. Отныне определение основной причины и устранение как тривиальных, так и сложных ошибок больше не должно быть проблемой.
Не стесняйтесь оставлять комментарии, если у вас есть какие-либо вопросы или вы хотите, чтобы мы добавили соответствующую тему.
Содержание
- Анализ ошибок Синего Экрана (BSOD) в Windows 10
- Как пользоваться WinDbg для анализа minidump
- Как пользоваться BlueScreenView для нахождения ошибок
- Просмотр «Журнала ошибок» в Windows 10
- «Журнал ошибок» в Виндовс 10
- Включение логирования
- Запуск «Просмотра событий»
- Анализ журнала ошибок
- Как узнать причину синего экрана смерти Windows (BSoD)
- «Синий фонарь» включается неожиданно
- Что можно узнать из информации на синем экране
- Как включить функцию создания и сохранения малых дампов памяти
- Как анализировать содержимое минидампов
Анализ ошибок Синего Экрана (BSOD) в Windows 10
Синий экран смерти (BSOD) является одним из самых неприятных проблем, с которой пользователь Windows может столкнуться. Ошибки на синем экране могут возникнуть по разным причинам и не проанализировав, с чем связана ошибка, ее сложно устранить. Это основные причины для синего экрана смерти BSOD:
- Конфликты драйверов — конфликты с драйверами возникают, когда два или несколько драйверов не могут работать друг с другом должным образом. Это также может произойти, если несколько драйверов установлены для одного и того же устройства без удаления предыдущей версии.
- Конфликты оборудования — некорректный разгон ПК может сразу создать BSOD. Кроме того, «синий экран смерти» может возникать, если ваши планки RAM неправильно установлены или если часть оборудования начинает подходить к износу.
- Ошибки операционной системы (ОС) — пользовательская ошибка или вредоносное ПО, могут удалять жизненно важные файлы вашей ОС. Существенные недостающие файлы могут привести к пагубной ошибке, в результате чего ваш ПК войдет в цикл BSOD, в котором вы получаете синий экран каждый раз, когда ваш компьютер включается.
Подготовка к анализу дампа файла BSOD
Всякий раз , когда происходит BSOD ошибка, Windows выгружает некоторую информацию об этом в файл на вашем ПК, но попытка понять этот файл дампа очень сложна. Одним из облегченных способов понимания является использование утилиты BlueScreenView от NirSoft и WinDbg, свободного инструмента, который находит эти файлы дампа и отображает их в более удобной для пользователя форме. Прежде всего вам стоит проверить настройки для отчета дампа памяти в самой системе Windows:
- Нажмите Win+R и введите sysdm.cpl
Перейдите на вкладку Дополнительно и выберите снизу Параметры в графе «Загрузка и Восстановление«.
Убедитесь, что у вас включены настройки для записи ошибок в журнал.
Как пользоваться WinDbg для анализа minidump
Шаг 1. WinDbg предлагает более детальный анализ ошибок в системе Windows 10. Кроме того, имеется UWP версия, которую можно скачать с Mcirosoft Store . После запуска программы WinDbg проделайте следующее:
- Нажмите на вкладку «Файл» и выберите «Open Dump Files«
- Укажите путь к файлу «.dmp» по пути C:WindowsMinidump
- подождите пока первичный анализ будет готов.
Шаг 2. После первичного анализа вам нужно ввести команду !analyze -v в строку 5: kd> и нажать Enter. Будет произведен сбор данных.
Шаг 3. Сразу при старте анализа мы можем встретить код BSOD, который у меня показывался на синем экране. Код поможет Вам найти информацию в интернете.
Шаг 4. Для большего углубления ищем строки MODULE_NAME, IMAGE_NAME и FAILURE_BUCKET_ID. Это укажет на точную причину ошибок синего экрана и других проблем в Windows 10.
Как пользоваться BlueScreenView для нахождения ошибок
Шаг 1. Скачиваем программу BlueScreenView . Вы увидите три ссылки, как на картинке ниже, выберите наиболее удобный для вас установщик. Если хотите русифицировать программу, то ниже в таблице найдите Russian и загрузите файл. В скаченном файле будет файл «BlueScreenView_lng«, просто поместите его в установочную программу в корень папки.
Просмотр «Журнала ошибок» в Windows 10
Во время работы операционной системы, как и любого другого программного обеспечения, периодически возникают ошибки. Очень важно уметь анализировать и исправлять подобные проблемы, дабы в будущем они не появлялись снова. В ОС Windows 10 для этого был внедрен специальный «Журнал ошибок». Именно о нем мы и поговорим в рамках данной статьи.
«Журнал ошибок» в Виндовс 10
Упомянутый ранее журнал является лишь небольшой частью системной утилиты «Просмотр событий», которая по умолчанию присутствует в каждой версии Windows 10. Далее мы разберем три важных аспекта, которые касаются «Журнала ошибок» — включение логирования, запуск средства «Просмотр событий» и анализ системных сообщений.
Включение логирования
Для того чтобы система могла записывать все события в журнал, необходимо включить его. Для этого выполните следующие действия:
- Нажмите в любом пустом месте «Панели задач» правой кнопкой мышки. Из контекстного меню выберите пункт «Диспетчер задач».
В открывшемся окне перейдите во вкладку «Службы», а затем на самой странице в самом низу нажмите кнопку «Открыть службы».
Далее в перечне служб нужно найти «Журнал событий Windows». Убедитесь, что она запущена и работает в автоматическом режиме. Об этом должны свидетельствовать надписи в графах «Состояние» и «Тип запуска».
После этого остается проверить, активирован ли на компьютере файл подкачки. Дело в том, что при его выключении система попросту не сможет вести учет всех событий. Поэтому очень важно установить значение виртуальной памяти хотя бы 200 Мб. Об этом напоминает сама Windows 10 в сообщении, которое возникает при полной деактивации файла подкачки.
О том, как задействовать виртуальную память и изменить ее размер, мы уже писали ранее в отдельной статье. Ознакомьтесь с ней при необходимости.
С включением логирования разобрались. Теперь двигаемся дальше.
Запуск «Просмотра событий»
Как мы уже упоминали ранее, «Журнал ошибок» входит в состав стандартной оснастки «Просмотр событий». Запустить ее очень просто. Делается это следующим образом:
- Нажмите на клавиатуре одновременно клавишу «Windows» и «R».
- В строку открывшегося окна введите eventvwr.msc и нажмите «Enter» либо же кнопку «OK» ниже.
В результате на экране появится главное окно упомянутой утилиты. Обратите внимание, что существуют и другие методы, которые позволяют запустить «Просмотр событий». О них мы в деталях рассказывали ранее в отдельной статье.
Анализ журнала ошибок
После того как «Просмотр событий» будет запущен, вы увидите на экране следующее окно.
В левой его части находится древовидная система с разделами. Нас интересует вкладка «Журналы Windows». Нажмите на ее названии один раз ЛКМ. В результате вы увидите список вложенных подразделов и общую статистику в центральной части окна.
Для дальнейшего анализа необходимо зайти в подраздел «Система». В нем находится большой список событий, которые ранее происходили на компьютере. Всего можно выделить четыре типа событий: критическое, ошибка, предупреждение и сведения. Мы вкратце расскажем вам о каждом из них. Обратите внимание, что описать все возможные ошибки мы не можем просто физически. Их много и все они зависят от различных факторов. Поэтому если у вас не получится что-то решить самостоятельно, можете описать проблему в комментариях.
Критическое событие
Данное событие помечено в журнале красным кругом с крестиком внутри и соответствующей припиской. Кликнув по названию такой ошибки из списка, немного ниже вы сможете увидеть общие сведения происшествия.
Зачастую представленной информации достаточно для того, чтобы найти решение проблемы. В данном примере система сообщает о том, что компьютер был резко выключен. Для того чтобы ошибка не появлялась вновь, достаточно просто корректно выключать ПК.
Для более продвинутого пользователя есть специальная вкладка «Подробности», где все событие представлены с кодами ошибок и последовательно расписаны.
Ошибка
Этот тип событий второй по важности. Каждая ошибка помечена в журнале красным кругом с восклицательным знаком. Как и в случае с критическим событием, достаточно нажать ЛКМ по названию ошибки для просмотра подробностей.
Если из сообщения в поле «Общие» вы ничего не поняли, можно попробовать найти информацию об ошибке в сети. Для этого используйте название источника и код события. Они указаны в соответствующих графах напротив названия самой ошибки. Для решения проблемы в нашем случае необходимо попросту повторно инсталлировать обновление с нужным номером.
Предупреждение
Сообщения данного типа возникают в тех ситуациях, когда проблема не носит серьезный характер. В большинстве случаев их можно игнорировать, но если событие повторяется раз за разом, стоит уделить ему внимание.
Чаще всего причиной появления предупреждения служит DNS-сервер, вернее, неудачная попытка какой-либо программы подключиться к нему. В таких ситуациях софт или утилита попросту обращается к запасному адресу.
Сведения
Этот тип событий самый безобидный и создан лишь для того, чтобы вы могли быть в курсе всего происходящего. Как понятно из его названия, в сообщение содержатся сводные данные о всех инсталлированных обновлениях и программах, созданных точках восстановления и т.д.
Подобная информация будет очень кстати для тех пользователей, которые не хотят устанавливать сторонний софт для просмотра последних действий Windows 10.
Как видите, процесс активации, запуска и анализа журнала ошибок очень прост и не требует от вас глубоких познаний ПК. Помните, что таким образом можно узнать информацию не только о системе, но и о других ее компонентах. Для этого достаточно в утилите «Просмотр событий» выбрать другой раздел.
Как узнать причину синего экрана смерти Windows (BSoD)
Чтобы не теряться, когда на экране внезапно засветился синий «фонарь», нужно уметь смотреть неприятелю «в лицо». То есть научиться выяснять, что привело к появлению BSoD’a, оценивать, насколько ситуация критична и знать, что делать, чтобы она больше не повторялась.
«Синий фонарь» включается неожиданно
Синие экраны смерти возникают на любой стадии загрузки и работы компьютера. А приводит к ним следующее:
- Некорректная работа драйверов устройств из-за плохой совместимости с операционной системой, конфликта с другими драйверами, повреждения или изменения параметров.
- Некорректная работа программного обеспечения, чаще того, которое создает собственные службы – антивирусов, файерволов, эмуляторов оборудования и т. п.
- Заражение вредоносными программами.
- Аппаратные неполадки – неисправность оперативной памяти, дисковых накопителей, сетевых, звуковых адаптеров, видеоподсистемы, материнской платы, блока питания и другого оборудования.
- Нештатная работа устройств – перегрев, нестабильное питание, разгон.
- Нарушение обмена данными между устройствами – плохой контакт в разъемах, неисправные кабели и шлейфы.
- Несовместимость устройств.
Кстати, однократный BSoD после подключения к компьютеру нового девайса, если в дальнейшем всё работает без нареканий, можно считать нормой.
Что можно узнать из информации на синем экране
Аппаратные «синяки» чаще возникают в одних и тех же условиях (например, при увеличении нагрузки на видеокарту, попытке открыть объемный файл) и имеют разные коды. Либо эти коды указывают на проблемы конкретного оборудования, как то: ошибки доступа к устройству, невозможность считывания, распознавания.
Однако эти признаки позволяют сделать лишь предположение о причине проблемы. Для ее уточнения необходимы более детальные сведения.
Синий экран смерти Windows 10 выглядит так:
Информацию об ошибке в нем несет строка «Stop code». В моем примере это CRITICAL PROCESS DIED.
Отсканировав телефоном QR-код, который находится здесь же, вы можете перейти на сайт windows com/ stopcode, где содержатся общие советы по устранению сбоя. Подсказки от Microsoft иногда полезны, но о причине конкретно вашего случая там ничего нет, а значит, придется искать эти данные в другом источнике, например:
- На компьютерных форумах.
- В справочниках по различным кодам ошибок, в частности, на сайте Docs.Micosoft и в других местах .
Но и это не совсем полные сведения. Каждая ошибка уникальна, и самая точная информация о ней содержится в файле, который система сохраняет на диск в момент сбоя. А именно – в малом дампе памяти, которые мы и будет учиться анализировать. А чтобы такие файлы создавались, необходимо сделать несколько маленьких настроек.
Как включить функцию создания и сохранения малых дампов памяти
Для сохранения дампов памяти на жестком диске системе обязательно нужен файл подкачки, который должен находиться в том же разделе, где папка Виндовс. Его размер может быть от 2 Mb и больше.
- Зайдите через контекстное меню в свойства папки «Компьютер».
- Щелкните в открывшемся окошке кнопку «Дополнительные параметры системы».
- В разделе окна «Загрузка и восстановление» нажмите кнопочку «Параметры».
- В разделе нового окна «Отказ системы» из списка «Запись отладочной информации» выберите «Малый дамп памяти». В качестве места сохранения пусть будет указано «%SystemRoot%Minidump» (%systemroot% – это папка Windows).
На этом настройка закончена. Теперь информация о BSoD’ах будет сохраняться в вышеуказанном каталоге.
Как анализировать содержимое минидампов
BlueScreenView особенно удобна тем, что не требует установки на компьютер громоздких пакетов Debugging Tools for Windows и может запускаться с любого носителя, достаточно кликнуть по одноименному файлу.
Интерфейс утилиты, несмотря на отсутствие русского языка, весьма дружелюбен. Главное окно разделено на 2 половины. Вверху – таблица минидампов – файлов из папки WindowsMinidump с датой и временем создания (колонка Crash Time), кодом ошибки в шестнадцатеричном формате (колонка Bug Check Code), четырьмя ее параметрами и другими сведениями. Впрочем, данные о конкретном сбое удобнее просматривать в отдельном окне, которое открывается двойным щелчком по интересующей строке (показано ниже). Главное окно дает больше информации о проблеме в целом, если BSoD’ы случались неоднократно. В нем легко отслеживать даты происшествий и коды ошибок, по повторяемости которых можно судить о характере неполадки.
Нижняя половина основного окна отображает драйвера, загруженные в память в момент аварийной ситуации по конкретному дампу, выделенному в списке. Строки, подсвеченные розовым, показывают содержимое стека потока событий, а упомянутые в них драйвера имеют самое прямое отношение к причине сбоя.
Разберем для примера один из малых дампов памяти с кодом ошибки 0x00000154. Скажу наперед, что он был вызван заломом шлейфа жесткого диска. Начиная анализ, посмотрим на список драйверов в стеке событий. Здесь нет ничего, кроме ntoskrnl.exe – ядра ОС Windows, которое, конечно, в проблеме не виновато – просто во время сбоя ни одного драйвера в стеке не было, а оно присутствует там всегда.
Далее заглянем в окошко параметров дампа. Здесь тоже не упомянуто ничего, кроме ntoskrnl.exe, значит, проблема вызвана не драйвером.
Идем дальше. Согласно сведениям на сайте Microsoft , ошибка 0x00000154 возникает, когда «компонент хранилища обнаруживает неожиданное исключение» и связана, как правило, с неполадками накопителей.
Для проверки этой версии оценим показатели S.M.A.R.T жесткого диска компьютера, которые отслеживает программа Hard Disk Sentinel. В день аварии здесь появились изменения следующих атрибутов:
- 188 Command Timeout.
- 199 UltraDMA CRC Error Count.
Оба указывают на ошибки передачи данных по интерфейсному кабелю. Тест поверхности харда и проверка файловой структуры отклонений не выявили, поэтому проблема была решена заменой шлейфа.
Рассмотрим еще один случай синего экрана смерти, причиной которого стал антивирус Касперского. BSoD периодически возникал во время запуска Windows 10 и при выходе компьютера из спящего режима.
Ошибка зафиксировалась несколько раз под одним и тем же кодом – 0x000000d1, который означает следующее: «драйвер режима ядра попытался получить доступ к странице памяти в процессе IRQL, который имел слишком высокий приоритет». На этот раз BlueScreenView указал на проблему в драйвере NDIS.sys, отвечающем за сетевые подключения. Значит, высока вероятность, что сбой имеет программное происхождение и связан с чем-то, что использует сеть.
Для выявления виновника потребовалось провести анализ автозагрузки приложений. На раннем этапе запуска операционной системы этого ПК стартовало не слишком много программ, которым разрешен доступ в Интернет, точнее, один Касперский. В подтверждение его причастности я снова обратилась к списку загруженных в память драйверов в BlueScreenView и среди того, что присутствует здесь обычно, обнаружила kl1.sys, принадлежащий антивирусу.
После удаления Касперского синие экраны больше не выскакивали.
Утилита BlueScreenView позволяет анализировать аварийные дампы памяти, полученные не только там, где она запущена, но и на другом компьютере. Для этого не нужно копировать их в папку Windows Minidump своего ПК, которая загружается в программу по умолчанию. Скопируйте их в любое удобное место, например, на рабочий стол, и укажите программе новое расположение каталога, который следует загружать.
Функция выбора папки с файлами дампов находится в меню «Options» – «Advanced Options» (открывается сочетанием клавиш Ctrl + O) и называется «Load from the following minidump folder».
Установив здесь отметку, кликните кнопку «Browse» и найдите нужный каталог в проводнике. Когда захотите вернуть настройки по умолчанию, нажмите «Default».
Вот так за считанные минуты можно узнать причину почти любого синего экрана смерти Windows, а исследовав минидампы в совокупности – выявить источник неполадки и успешно его устранить. Кстати, подсказки, какой драйвер чему принадлежит, можете найти здесь . Там же приведены рекомендации по решению связанных с ними проблем.
Когда возникает ошибка «Синий экран смерти», Windows на короткое время отображает ее детали и код и перезагружает компьютер. Даже иногда Windows перезагружается так быстро, что пользователи не могут записать код ошибки. В таких ситуациях могут помочь файлы журнала BSOD. В этом посте мы покажем вам, как найти и просмотреть файлы журнала BSOD в Windows 10.
Windows сохраняет сведения о каждой ошибке BSOD в определенном месте. Эти данные называются журналом BSOD и доступны в файлах журнала BSOD. В Windows 10 есть встроенный инструмент просмотра файлов журнала, Event Viewer. Средство просмотра событий не только перечисляет все журналы ошибок BSOD, но также предоставляет пользователям руководство по устранению неполадок для устранения ошибки.
Выполните следующие шаги, чтобы просмотреть журналы BSOD в средстве просмотра событий.
1]Введите «Просмотр событий» в поле поиска Windows 10 и щелкните приложение, чтобы запустить его.
2]Для просмотра журналов ошибок BSOD необходимо создать фильтр. Для этого перейдите в «Действие> Создать настраиваемое представление».
3]Убедитесь, что в окне «Создать настраиваемый вид» вы находитесь на вкладке «Фильтр». Выберите время, когда вы наблюдали ошибку «Синий экран смерти» в вашей системе, в раскрывающемся меню «Зарегистрировано». Если вы знаете точную дату и время ошибки BSOD, вы можете выбрать параметр «Пользовательский диапазон».
В моем случае я не знал дату и время ошибки. Вот почему я оставил настройку по умолчанию «В любое время».
4]Теперь установите флажок «Ошибка» в разделе «Уровень события» и выберите переключатель «По журналу». После этого щелкните раскрывающееся меню Журналы событий и разверните раздел «Журналы Windows». Здесь вы должны установить следующие флажки:
- Приложение
- Безопасность
- Система
Когда вы закончите, нажмите ОК.
5]После этого откроется новое окно, в котором вам нужно будет ввести имя созданного вами фильтра и нажать OK, чтобы сохранить его.
Я сохранил его под названием «Журналы системных ошибок». Вы можете просмотреть его в разделе «Пользовательские просмотры» на левой панели.
6]После выбора только что созданного фильтра вы можете просмотреть все журналы системных ошибок на средней панели средства просмотра событий. Чтобы просмотреть журнал BSOD, вы должны найти ошибку в источнике «BugCheck».
Теперь нажмите «Источник», чтобы расположить все записи под ним в алфавитном порядке. Это упростит вам поиск записи BugCheck.
На вкладке «Общие» вы можете просмотреть код ошибки. Щелкните вкладку «Подробности», чтобы узнать больше об ошибке.
Сообщение «Компьютер перезагрузился из BugCheck» на вкладке «Общие» указывает на то, что это ошибка BSOD.
Теперь вы можете легко находить ошибки BSOD и устранять их.
СОВЕТ: Вы также можете использовать BlueScreenView. Это ориентированная на пользователя утилита, которая автоматически сканирует все файлы минидампа, которые были созданы после сбоя BSOD, в единую таблицу. Для каждого сбоя BlueScreenView предоставляет подробную информацию о драйвере, который был загружен во время сбоя, и другую информацию о сбое, чтобы легко устранить проблемы и найти подозрительные проблемные драйверы.
Читайте дальше: Как найти результаты ChkDsk в журналах просмотра событий.
.