Информацию о проблемах, возникших при работе с ОС Windows, помогают узнать сведения на экране или файлы в памяти – дампы. В них хранятся данные о текущем состоянии процессора, ядра и других компонентов. Сохранение этих сведений нередко отключено в Виндовс 10, поэтому пользователи самостоятельно настраивают их автоматическое появление. Разберемся, для каких целей необходим дамп памяти в ОС Windows 10, какие типы бывают, как установить.
Для чего он нужен
Данные «оперативки» и материалы, имеющие отношение к критической ошибке, попадают в файл. При запуске ОС появляется аварийный дамп, где сохраняется запись отладочной информации. Сбой блокирует функционирование ОС, поэтому dump – единственный способ получения данных о ней. Чем точнее в нем будет описана проблема, тем проще пользователю проанализировать ситуацию и найти способы решения по устранению недочетов в работе ОС.
Важно получить информацию на момент сбоя. Создание дампа памяти помогает в этом. Аварийный dump применяется с целью диагностики, позволяет выявить и устранить возникшую ошибку программы.
Как работает опция? Во время запуска ОС создает и сохраняет карту секторов, которые занимает на диске файл подкачки. При сбое в работе проверяется целостность этой карты, а также компонентов структуры. Если они не нарушены, то применяются опции, которые сохраняют образ памяти, записывая данные с использованием сохраненной секторной карты.
При следующем запуске ОС диспетчер инициализирует данные, проверяет наличие в нем файлов .dmp. Далее содержимое копируется из него в файл аварийного дампа, делаются соответствующие записи.
Как включить функцию дамп памяти на Windows 10 и настроить ее
Чтобы включить опцию, пользователю потребуется выполнить ряд последовательных действий. В инструкции нет ничего сложного, с ней справится даже новичок в этом деле:
- Тапнуть кнопкой мышки по значку «Пуск».
- В открывшемся окошке выбрать раздел «Система».
- Далее выбрать раздел «Дополнительные параметры».
- В открывшемся окне выбрать «Параметры».
- Настроить аварийный дамп.
Желательно ставить галочки напротив значений, связанных с созданием журнала, сохранением информации о системе. Данные при этом могут достигать нескольких сотен гигабайт. Поэтому целесообразно отметить маркером «Заменить существующий файл дампа».
Зная все о неполадках и причинах возникновения BSoD, будет легче исправить положение и вернуть рабочий режим системы.
Типы аварийных дампов памяти
В Виндовс предусмотрены различные типы .dmp. К основным видам относятся:
- Мини-дамп памяти – файл с минимумом данных о BSoD, процессоре, драйверах, которые работали во время появления критической ошибки. Весит 256 Кб, для извлечения информации требуется установка дополнительной утилиты, например, Blue Screen View. Minidump преимущественно пользуются непрофессионалы.
- Дамп памяти ядра – тоже имеет небольшие размеры, но содержит более подробную информацию, чем m В нем сохраняется информация о памяти ядра, процессора или всей ОС.
- Полный дамп памяти – копирует оперативку системы. Его размер соответствует объему оперативки, это одновременно является его плюсом и, в то же время, существенным минусом. Его размеры могут оказаться огромными, требуя невероятных размеров памяти устройства. Он недоступен на устройствах с оперативной системой 32 бита.
- Автоматический дамп памяти – новый вид, который разработчики впервые ввели в Виндовс 8. Система самостоятельно решает, какой dump записывать, учитывая особенности сбоя, частоту его проявления.
- Активный дамп памяти – внедрен в Виндовс 10, отсортировывает компоненты, неспособные распознать причину ошибки. Полезен для серверов и других виртуальных сервисов.
Установка WinDbg в Windows
Инструмент от разработчиков Microsoft, используется для загрузки, анализа файлов .dmp, созданных во время ошибки или BSoD. Для скачивания пакета нужно перейти по ссылке https://developer.microsoft.com/ru-ru/windows/downloads/windows-10-sdk/. Затем найти «Скачать отдельный пакет SDK». Далее пользователю потребуется открыть скачанную утилиту, инсталлировать ее.
После завершения процесса установки Windbg нужно ассоциировать с файлами .dmp. Для этого выполнить следующее:
- Вызвать строку поиска.
- Скопировать путь к нему и вставить в строку.
- Нажать «Ok».
Далее потребуется настроить путь к символам через «Пуск».
- Найти «Все приложения», затем «Windows Kits» и «WinDbg».
- В появившемся окне выбрать «File», в разделе «Symbol File Path».
- Ввести путь: SRV*C:SymCache*http://msdl.microsoft.com/download/symbols и нажать «Ok».
- На завершающем этапе открыть «File», затем перейти в «Save Workspace».
- Закрыть WinDbg.
Просмотр и анализ файла мини-дампа
При выполнении операций с малым дампом можно воспользоваться доступной для любого пользователя утилитой Blue Screen View от Nirsoft. После открытия файла он четко укажет на имена этих драйверов. После нажатия на один из них появятся имена сервисов. Если юзер не может прочитать пути решения проблемы, он может воспользоваться поисковиком.
Пользователь может скачать ее с официального источника. Программа работает автономно, не требует скачивания дополнительных символов.
После запуска утилита сразу начнет сканировать директорию, где хранятся файлы дампа. Результаты анализа появятся в отдельной таблице, где будут указаны коды ошибок minidump и причины их появления. Проблемные участки будут выделены красным цветом.
Выполнение анализа и устранение ошибки:
- Для просмотра необходимо переместить файл в окно программы, после загрузится отладочная информация.
- Модули с ошибками высветятся красным цветом.
- Тапнуть по имени мини-дампа, запустить поиск решения в Google, посмотреть варианты устранения проблемы.
В таких случаях среди подсвеченных проблемных драйверов находится истинный источник появления синего «экрана смерти». Для более точного анализа можно применить несколько вариантов анализа.
Как удалить этот файл
Если пользователю понадобилось удалить minidump, то выполняет он эту процедуру ручным способом. А именно: перейти по пути месторасположения файлов на диске: C:WindowsMinidump. Для удаления элементов minidump в каталоге Windows нужно воспользоваться встроенным инструментом системы «Очистка диска»:
- Вызвать командную строку.
- Ввести команду Cleanmpg.
- Тапнуть по кнопке очищения системных файлов.
- Найти в списке объекты, касающиеся мини-дампа, поставить галочки.
- Начнется удаление, которое потребует некоторое время.
Если в списке нужных объектов не нашлось, это не означает, что они отсутствуют в системе. Скорей всего, они отключены пользователем или программами по очистке.
Дамп памяти в ОС Windows 10 – инструмент, помогающий диагностировать и устранять причины сбоев и появление BSoD. Если автоматическое создание и сохранение дампов памяти отключено, рекомендуется активировать их. Чаще причиной отключения файлов становятся утилиты для очистки ПК и оптимизации работы системы.
Windows очень хрупкое творение и чуть что, любое неправильное действие со стороны пользователя влечёт возникновение критических ошибок, и не очень. Узнать информацию по синим экранам смерти, являющимися теми самыми критическими проблемами, помогают сведения, написанные на самом экране, а ещё специальные файлы дампы памяти – сохраняющие данные о причинах появления BsoD. Настоятельно рекомендую включать эту функцию, так как никто не застрахован от появления синего экрана, даже опытный пользователь.
Сами дампы памяти обычно хранятся по пути C:WindowsMEMORY.DMP, либо C:WindowsMinidump – где хранятся так называемые малые дампы памяти. Кстати говоря, малый дамп памяти будет тем файлом, который поможет узнать причину появления BsoD.
Обычно создание дампов памяти в Windows 10 по умолчанию отключено, а значит, использование специальных утилит для проверки файлов дампов не даст положительного результата. Давайте приступим непосредственно к действиям.
Обычно для просмотра дампов используют утилиты, наподобие BlueScreenView, но вам необходимо прямо сейчас настроить автоматическое создание дампов памяти иначе и эта программа, и аналогичные будут бесполезны.
Это полезно:
- Проводим анализ дампа памяти или как выявить причину BSoD
- Зеленый экран смерти GSOD – что это такое
Нажмите по значку поиска и введите фразу «Панель управления», чтобы открыть окно этого инструмента.
Переводим отображение значков в вид «Мелкие значки», а потом переходим в раздел «Система».
Откроется окошко, где с левой стороны нажимаем по опции «Дополнительные параметры системы».
Во вкладке «Дополнительно» жмём пунктик «Параметры» раздела «Загрузка и восстановление».
Наконец, открывается окно, где находятся основные параметры по настройке дампов. Тут видно, что в Windows активирован автоматический дамп памяти, который хранится по пути, указанному чуть ниже. А еще включены галочки создания журналов. Помимо этого, создаются и файлы малого дампа памяти, которые при работе с синими экранами смерти очень нам пригодятся. Также сохраняется информацию по ядру системы и памяти. Если стоит автоматический режим, то этого будет достаточно.
Сведения о других дампах памяти
Если открыть выпадающее меню записи отладочной информации, вы увидите несколько пунктов, которые я опишу ниже.
- Малый дамп памяти – мини дамп, который сохраняется по специальному пути и весит 256 Килобайт. В таком файле хранится основная информация по синим экранам смерти и системным процессам. Если необходимо узнать причину BSOD, то достаточно именно малого дампа памяти. Для извлечения сведений используется программа BlueScreenView или похожие. Такой способ может использовать любой новичок.
- Дамп памяти ядра – файл будет содержать такие же сведения, что у автоматического типа. Единственное отличие в изменении системой файла подкачки. Какой вариант выбрать? Думаю, что сразу автоматический тип.
- Полный дамп памяти – в файлике находится полные данные об оперативной памяти, а значит объем файла будет равен размеру оперативки. Стоит у вас на ПК 8 Гб, столько будет на диске занимать файл полного дампа памяти. Для новичков этот вариант особо не пригоден.
- Активный дамп памяти – первое появление в Windows 10. Больше пригоден для серверов и хранит данные об активной памяти и режимах ядра, а также текущего пользователя.
Это интересно: Как определить синий экран (BSoD) с помощью утилиты Windows 10
Как удалить файла дампа памяти
Очень просто, вы заходите по пути расположения этих файлов и вручную их удаляете. Например, файла полного дампа памяти называется MEMORY.DMP, просто удалите его и всё. При использовании инструмента «Очистка диска» тоже есть возможность удалить файлы дампов.
Дамп памяти может быть выключен по причине действия утилит по чистке системы. При использовании SSD и специальных утилит для работы с этими накопителями, они также могут отключать некоторые функции системы, чтобы твердотельный накопитель меньше подвергался процедурам чтения/записи.
Это интересно: Делаем искусственно синий экран смерти в Windows 10
Главная » Уроки и статьи » Windows
У значительной части начинающих пользователей отрицательная реакция на выражение «дамп памяти», т. к. он ассоциируется с серьезными неполадками. Однако данная функция может быть очень полезна, поэтому важно знать, как создать дамп памяти. В Windows 10 это делается очень просто. Также рекомендуется ознакомиться с типами дампов и особенностями их удаления.
Что такое дамп памяти Windows 10
Все знают про существование синего экрана смерти. Его появление указывает на наличие критических ошибок. Дамп памяти – это данные, которые связаны с ошибкой. Они очень сильно помогают в выяснении причины, тем самым способствуя скорому «выздоровлению» системы. По этой причине даже при отсутствии проблем рекомендуется включать автоматическое создание дампов.
Необходимо предупредить, что функция может отключаться самостоятельно. Подобное не является нормой и возникает по разным причинам. К самым распространенным относят:
- специальные утилиты для чистки и/или оптимизации;
- сторонние приложения, предназначенные для улучшения работы SSD.
Если деактивация происходит сама собой, лучше временно избегать использования таких программ. При необходимости следует их удалить.
Как активировать создание данных
Эта процедура, вопреки популярному мнению, не требует много времени или каких-либо умений. Все шаги, перечисленные далее, будут проводиться в панели управления. Последнюю можно открыть разными способами:
- Ввести название утилиты в поиск на панели задач.
- Одновременно нажать на клавиши Win и R, а затем скопировать и вставить в строку слово «control» (без кавычек).
- Найти программу в меню «Пуск» (располагается в папке «Служебные»).
Итак, в панели необходимо выбрать раздел «Система». Его приблизительное расположение можно увидеть на изображении ниже:
В левой части экрана будет несколько категорий, среди которых есть дополнительные настройки (самый последний пункт).
В открывшемся окне будет активна вкладка «Дополнительно». В ней есть пункт, отвечающий за восстановление ОС в случае неполадок. Требуется перейти в его параметры, нажав на соответствующую кнопку в правой части окна.
После этого снова появится новое окно. По умолчанию функция должна быть включена. Если это не так, значит ее либо отключили вручную, либо с помощью программ. Нужный пункт настроек можно найти под подзаголовком «Отказ системы»:
Здесь следует поставить галочку напротив первой надписи. Если использовать стандартные настройки, то дамп будет автоматическим. Также строкой ниже можно указать его расположение. Чтобы сэкономить место на накопителе, новый файл обычно заменяет старый. Это можно отключить, убрав галочку около предпоследнего пункта. После завершения настройки необходимо кликнуть по кнопке «ОК», чтобы сохранить изменения.
Типы дампов памяти Windows
Большинству пользователей подойдет автоматический вариант, однако следует также рассмотреть и другие типы:
- Малый. Как можно догадаться, обладает более незначительным размером. По умолчанию находится по пути, отличном от указанного выше (обычно в папке, которая так и называется «Minidump»). Содержит только общую информацию, без подробностей, однако во многих случаях этого более чем достаточно. Не менее популярен, чем автоматический тип.
- Дамп памяти ядра. В целом очень схож с вариантом по умолчанию, но неопытными пользователями используется значительно реже. Отличается измененным файлом подкачки.
- Полный. Содержит наибольшее количество информации, но начинающим его выбирать не рекомендуется. Причина проста: такой файл может занимать очень много места (столько же, сколько и используемая часть ОП на момент возникновения синего экрана).
- Активный. Обычно используется для серверов и позволяет отсортировать компоненты, которые не могут определить причину появления ошибки. В большинстве случаев смысла его использовать нет: лучше отдать предпочтение автоматическому типу.
Подводя итоги, чаще всего используются автоматический и малый дампы. Также в некоторых случаях может быть полезен полный тип, но важно учитывать, что он много весит, а причину зачастую можно выявить и без такой подробной информации.
Как удалить дамп памяти в Windows 10
Сделать это можно двумя способами: вручную и с помощью встроенной утилиты. Оба варианта просты, безопасны, не требуют больших временных затрат. С первым вариантом все понятно: нужно лишь узнать, где расположен дамп. Второй вариант заключается в следующем:
- Нужно открыть программу «Очистка диска». Ее можно найти, используя поиск на панели задач. Еще можно открыть окно «Выполнить» (Win+R), а затем написать туда «cleanmgr» (без кавычек).
- Приложение некоторое время будет загружаться – это нормально.
- Далее остается лишь кликнуть по подчеркнутой на скриншоте кнопке и выбрать дамп памяти. Обычно процедура не занимает много времени. Если файла нет, вероятно, дамп попросту отсутствует. Рекомендуется проверить его расположение и удалить самостоятельно, если он все-таки присутствует.
Таким образом, дамп памяти Windows 10 представляет собой полезные данные, которые незаменимы при наличии серьезных ошибок. По идее он должен быть изначально включен, т. е. создаваться системой в автоматическом режиме. Если этого не происходит, скорее всего, на функцию повлияла какая-то программа. Удаление дампов для освобождения места – полностью безопасная и очень простая процедура, так что бояться ее тоже не стоит.
Понравилось? Поделись с друзьями!
Дата: 04.02.2022
Автор/Переводчик: Wolf
Вопрос о размере файла подкачки довольно часто встречается на различных технических ресурсах, однако однозначных рекомендаций на этот счет нет. Попадаются как советы установить файл подкачки в 1.5-2 раза больше объема установленной памяти, так и полностью отключить его. И то и другое абсолютно бессмысленно с практической точки зрения. Поэтому сегодня речь пойдет о том, что такое файл подкачки (он же своп-файл, он же страничный файл) и как правильно выбрать и настроить его размер.
Чтобы понять, для чего нужен файл подкачки, стоит сначала разобраться в принципах работы памяти в Windows. Поэтому начнем с теории.
Виртуальная память
Как правило, говоря о памяти мы имеем в виду модули оперативной памяти, физически установленные на компьютере, или физическую память. Объем доступной физической памяти жестко ограничен и зависит от возможностей оборудования, разрядности операционной системы и условий лицензирования. Для того, чтобы обойти эти ограничения, в операционных системах Windows используется такой ресурс, как виртуальная память.
Операционная система Windows работает не с физической, а именно с виртуальной памятью. Технически виртуальная память состоит из физической памяти (ОЗУ) и специального файла(-ов) подкачки, объединенных в единое виртуальное адресное пространство. Для каждого запущенного процесса выделяется собственное, отдельное от других процессов адресное пространство в виртуальной памяти, в котором он выполняется и которым управляет. Для обращения к памяти используются указатели на адреса в виртуальном адресном пространстве, при этом сам процесс не в курсе 🙂 того, где именно хранятся его данные — в ОЗУ или в файле, это решает операционная система.
Максимально возможный объем доступной виртуальной памяти зависит от разрядности операционной системы. Так в 32-разрядной системе процесс может адресовать не более 4 гигабайт (232) памяти. Для 64-разрядного процесса теоретическое ограничение составляет 16 экзабайт (264), а практически в современных 64-разрядных версиях Windows поддерживается адресное пространство объемом до 16 терабайт.
Примечание. Некоторые 32-разрядные версии Windows Server используют технологию PAE, позволяющую адресовать до 64ГБ памяти. Подробнее о PAE можно узнать здесь.
В отличии от физической, виртуальная память имеет гораздо более гибкие ограничения. Это позволяет одновременно выполняться большому количеству процессов, которые не смогли бы поместиться в физической памяти. Таким образом, основная задача механизма виртуальной памяти — расширение доступной памяти компьютера.
Управление памятью происходит примерно так.
Виртуальное адресное пространство поделено на блоки равного размера, которые называют страницами (pages). Отсюда кстати и название pagefile — страничный файл. Физическая память также поделена на разделы, называемые страничными фреймами (page frames), которые используются для хранения страниц.
Каждому процессу при старте выделяется ″кусок″ адресного пространства в виртуальной памяти. Соответственно в каждый момент времени в памяти находятся страницы из виртуального адресного пространства каждого процесса. Страницы, находящиеся в физической памяти и доступные немедленно, называются действительными (valid pages), а страницы, которые в данный момент недоступны, например находящиеся на диске — недействительными (invalid pages).
При обращении процесса к странице памяти, помеченной как недействительная, происходит страничное прерывание (page fault). При возникновении прерывания диспетчер виртуальной памяти находит запрашиваемую страницу и загружает ее в свободный страничный фрейм физической памяти. Собственно этот процесс и называется подкачкой (paging).
При дефиците физической памяти диспетчер памяти выбирает фреймы, которые можно освободить и переносит их содержимое на диск, в файл подкачки. Принцип переноса такой: когда процесс использовал все выделенные ему фреймы, то при каждом страничном прерывании в этом процессе система удаляет из физической памяти одну из его страниц. Выбор страницы осуществляется по принципу первым пришел — первым ушел (first in, first out, FIFO), т.е. в файл подкачки переносится страница, дольше всех находившаяся в памяти.
У каждого процесса есть свой рабочий набор (working set) — набор страниц, находящихся в физической памяти. Рабочий набор определяет размер физической памяти, выделенной процессу, он имеет минимальный и максимальный размер. В момент запуска процессу назначается минимальный размер рабочего набора, т.е. минимальное количество страниц, которые гарантированно будут находится в оперативной памяти. При достаточном количестве свободной физической памяти процесс может увеличивать свой рабочий набор до размера, равного максимальному рабочему набору. Когда же начинается нехватка памяти, диспетчер виртуальной памяти начинает урезать рабочий набор всех процессов до минимального, удаляя лишние страницы из физической памяти.
После уменьшения рабочего набора процесса до минимума диспетчер памяти отслеживает страничные прерывания, генерируемые каждым процессом. При большом количестве прерываний диспетчер может увеличить размер рабочего набора процесса, при отсутствии — продолжает уменьшать рабочий набор до тех пор, пока не произойдет прерывание. Появление прерывания говорит о том, что достигнут минимальный размер памяти, необходимый процессу для работы. Таким образом достигается баланс между потреблением физической памяти и производительностью.
На самом деле это очень примерное описание работы виртуальной памяти, но для общего понимания его вполне хватит. Поэтому завязываем с теорией и переходим к практике.
Текущие настройки файла подкачки
Посмотреть текущий размер файла можно в оснастке Свойства системы (System Properties). Для этого надо нажать Win+R и выполнить команду sysdm.cpl. Затем перейти на вкладку «Advanced», в поле «Performance» нажать на кнопку «Settings» и в открывшемся окне перейти на вкладку «Advanced».
Здесь указан суммарный размер файла подкачки на всех дисках, а по кнопке «Change» можно перейти к его настройкам.
По умолчанию включено автоматическое управление размером файла подкачки. Это значит, что операционная система создает один файл подкачки pagefile.sys в корне системного диска и устанавливает его размер автоматически, исходя из своих потребностей.
Дамп памяти
Чтобы понять, чем руководствуется система при выборе размера файла подкачки, опять перейдем к теории и обратимся к такому понятию как дамп памяти (memory dump). Дело в том, что кроме расширения физической памяти файл подкачки имеет еще одно назначение — он используется при создании аварийных дампов памяти при сбоях системы. Происходит это следующим образом.
Во время загрузки операционная система создает карту секторов, занимаемых на диске файлом подкачки и сохраняет ее в памяти. При сбое системы проверяется целостность этой карты, драйвера диска и управляющей структуры дискового драйвера. Если целостность их не нарушена, то ядро системы вызывает специальные функции вводавывода, предназначенные для сохранения образа памяти после системного сбоя и записывает данные из памяти на диск, в файл подкачки, используя сохраненную карту секторов.
При следующей загрузке системы диспетчер сеанса (Session Manager Subsystem Service, SMSS) инициализирует файл подкачки и проверяет наличие в нем заголовка дампа. Если заголовок есть, то данные копируются из файла подкачки в файл аварийного дампа и делается соответствующая запись в системном журнале.
Соответственно при автоматическом управлении файлом подкачки система ориентируется на настройки создания аварийного дампа памяти, выбирая размер файла в соответствии с типом дампа:
• Полный дамп памяти (Complete memory dump) — в дамп записывается все содержимое оперативной памяти на момент сбоя, поэтому размер файла подкачки должен быть равен размеру физической памяти + 1Мб (для заголовка). Этот тип выбирается по умолчанию при количестве физической памяти меньше 4ГБ;
• Дамп памяти ядра (Kernel memory dump) — в дамп записывается только память, выделенная для ядра ОС, драйверов устройств и приложений, работающих в режиме ядра. Дамп ядра занимает гораздо меньше места, чем полный дамп, при этом его как правило достаточно для определения причин сбоя. Этот тип дампа выбирается по умолчанию для систем с объемом ОЗУ 4ГБ и более. Минимальный размер файла подкачки должен составлять примерно 1/3 от объема физической памяти;
• Малый дамп памяти (Small memory dump) — мини-дамп, в котором содержатся минимально необходимые данные: стоп-код и описание ошибки, список загруженных драйверов и информация о запущенных в момент сбоя процессах. Этот дамп требует файл подкачки не менее 2Мб;
• Автоматический дамп памяти (Automatic memory dump) — новый тип дампа, появившийся в Windows 8Server 2012 и более новых. На самом деле это тот же дамп ядра, единственная разница в том, что он позволяет системе динамически управлять размером файла подкачки, выбирая наиболее оптимальный размер.
Настройки дампа памяти находятся в расширенных свойствах системы, в разделе Загрузка и восстановление (Startup and Recovery). Здесь можно один из четырех типов дампа либо совсем отключить его создание.
Даже зная настройки дампа и объем физической памяти, не получится точно сказать, какого размера файл подкачки создаст система. Поэтому я решил немного поэкспериментировать, для чего взял в качестве подопытных 2 системы — клиентскую Windows 8.1 (x64) и серверную Windows Server 2012 R2 и проверил, как размер файла подкачки зависит от объема физической памяти и настроек дампа. Вот что получилось:
Windows 8.1 4Гб ОЗУ |
Windows 8.1 8Гб ОЗУ |
Windows Server 2012 R2 4Гб ОЗУ |
Windows Server 2012 R2 8Гб ОЗУ |
|
Полный дамп | 4352 Мб | 8704 Мб | 4352 Мб | 8704 Мб |
Дамп ядра | 4096 Мб | 8192 Мб | 4096 Мб | 8192 Мб |
Автоматический дамп | 704 Мб | 1280 Мб | 1408 Мб | 1920 Мб |
Малый дамп | 320 Мб | 512 Мб | 1408 Мб | 1920 Мб |
Нет дампа | 320 Мб | 512 Мб | 1408 Мб | 1920 Мб |
Как видите, размер файла напрямую зависит не только от объема ОЗУ и настроек дампа, но и от типа операционной системы. Кроме того, отключение дампа не означает полное отсутствие файла подкачки.
Также стоит напомнить, что это начальные значения. При нехватке виртуальной в процессе работы памяти система может увеличивать файл подкачки вплоть до максимального значения, которое при автоматической настройке составляет 3 объема физической памяти.
Определение необходимого размера файла подкачки
Хотя размером файла подкачки и можно управлять через настройки дампа памяти, однако это не самый прямой способ. Гораздо правильней настроить размер файла вручную. Остается только выяснить, какой размер можно считать достаточным.
Однозначного ответа на этот вопрос нет. Единственный способ более-менее точно установить размер файла подкачки — это собрать в данной конкретной системе данные по потреблению памяти и использованию файла подкачки, выяснить, какой максимальный объем памяти может быть занят службамиприложениями и насколько реально используется файл подкачки. На основании полученных данных и следует выбирать размер файла.
Оперативно оценить текущее потребление виртуальной памяти можно в Task manager, в разделе Performance (производительность). В поле Commited показано отношение используемой виртуальной памяти к ее общему количеству. В моем примере на компьютере установлено 64Гб оперативной памяти и такого же объема файл подкачки. Текущий объем виртуальной памяти составляет 128Гб, занято 65Гб. Из них 62,4Гб приходятся на оперативную память и 2,6Гб на файл подкачки.
Также для сбора информации можно воспользоваться счетчиками производительности. Счетчики предоставляют больше информации, а также позволяют собрать статистику за определенное время, что позволит более точно определить потребности системы в виртуальной памяти. Нам потребуются следующие счетчики производительности:
Memory, Commited Bytes — этот счетчик показывает, какое количество байт в виртуальной памяти занято текущими процессами. Когда значение Commited Bytes превышает объем физической памяти, система начинает активно использовать файл подкачки;
Memory, Available Bytes — объем свободной физической памяти на компьютере. Этот параметр показывает загруженность оперативной памяти, а чем меньше физической памяти остается, тем активнее система использует файл подкачки.
Memory, Commit Limit — значение, равное сумме объема оперативной памяти и текущего размера файла подкачки. По другому — максимальное количество виртуальной памяти, которое может быть выделено всем процессам без увеличения размера файла подкачки.
Memory, %Commited Bytes In Use — показывает процент использования виртуальной памяти. Представляет из себя отношение Commited Bytes Commit Limit.
Paging File, %Usage — процент использования файла подкачки, текущее значение.
Paging File, %Usage Peak — процент использования файла подкачки, пиковое значение.
Для более глубокого анализа потребления памяти можно дополнительно использовать такие счетчики:
Memory, Page Faultsec — количество страничных ошибок (прерываний) в секунду при обращении к страницам памяти. Напомню, что страничное прерывание возникает при обращении к странице памяти, которая была выгружена на диск.
Memory, Pagessec — показывает, сколько страниц в секунду было прочитанозаписано в рамках страничного прерывания. Проще говоря, этот счетчик показывает интенсивность обмена данными между оперативной памятью и файлом подкачки. Представляет из себя сумму счетчиков Pages Inputsec и Pages Outpitsec.
Process, Working Set — показывает текущее использование физической памяти активными процессами. Значение Total выдает суммарный объем по всем процессам, но можно вывести данные отдельно и по каждому конкретному процессу. Этот счетчик не имеет прямого отношения к файлу подкачки, но может помочь при диагностике проблем с производительностью.
Как видно на примере, 64-гигабайтный файл подкачки реально используется всего на 2-3%. То есть для нормальной работы с избытком хватит файла подкачки размером 4Гб. И это при том, что сервер очень прилично нагружен, для менее загруженного компьютера цифры будут еще меньше.
Отдельно стоит упомянуть о выборе размера файла подкачки для компьютеров с ролью Hyper-V. Дело в том, что в силу особенностей архитектуры гипервизор не использует файл подкачки для виртуальных машин даже в случае нехватки физической памяти. На серверах Hyper-V файл подкачки нужен исключительно для целей хостовой системы, в которой используется лишь небольшая часть ОЗУ (обычно не более 2-4ГБ). Поэтому создавать файл подкачки, исходя из общего объема физической памяти в данном случае абсолютно бессмысленно.
Настройка
Определив необходимый размер, переходим непосредственно о настройке. Для изменения размера файла подкачки открываем свойства виртуальной памяти и отключаем автоматический выбор размера. Затем в поле «Drive» выбираем логический диск, на котором будет располагаться файл, выбираем опцию «Custom size», указываем начальный и максимальный размер файла подкачки и жмем «Set». Для того, чтобы изменения вступили в силу, после настройки может потребоваться перезагрузка системы.
Для файла подкачки существуют некоторые ограничения:
• Максимальный размер файла может быть не более 16ТБ для 64-битной и не более 4ГБ для 32-битной системы;
• Можно создавать до 16 файлов подкачки, но каждый должен быть расположен на отдельном томе (логическом диске);
• Для возможности создания аварийного дампа памяти необходимо, чтобы файл подкачки (хотя бы один) находился на системном диске.
Для автоматизации процесса настройки можно использовать вот такой PowerShell скрипт (подставив свои значения):
# Disable automatic management for pagefile
$ComputerSystem = Get-WmiObject -Class Win32_ComputerSystem -EnableAllPrivileges
if ($ComputerSystem.AutomaticManagedPagefile) {
$ComputerSystem.AutomaticManagedPagefile = $false
$ComputerSystem.Put()
}
# Set manual size for pagefile
$PageFile = Get-WmiObject -Class Win32_PageFileSetting -EnableAllPrivileges
$PageFile.InitialSize = 4096
$PageFile.MaximumSize = 8192
$PageFile.Put()
Заключение
В заключение некоторые практические советы, которые могут помочь в настройке.
• При ручной настройке необходимо указать начальный и максимальный размер файла. В этом случае система создает файл начального размера, при необходимости увеличивая его до тех пор, пока он не достигнет максимального. При увеличении размера возможна фрагментация файла подкачки, что скажется на его быстродействии. Для борьбы с фрагментацией можно изначально указать начальный и максимальный размер одинаковыми. Тогда система сразу выделит под файл все необходимое место, а статический размер файла исключит возможную фрагментацию в дальнейшем.
• Для увеличения производительности системы файл подкачки можно перенести на другой раздел. Уточню, что переносить файл стоит только на раздел, находящийся на другом физическом диске. Размещение файла подкачки на дополнительном раздел одного и того же диска не приведет к повышению быстродействия. На практике имеет смысл перенос файла подкачки на отдельный SSD-диск, это может дать заметный прирост производительности.
• Еще один теоретический 🙂 способ повысить скорость работы с файлом подкачки — разместить его на отдельном, специально выделенном только под него разделе, для которого установить размер кластера 64Кб (вместо 4Кб по умолчанию). При работе с большими файлами (такими, как файл подкачки) большой размер кластера может повысить производительность файловой системы. Чем больше размер кластера, тем большими блоками читаютсяпишутся данные, соответственно для одинакового объема данных при размере кластера 64Кб потребуется в 16 раз меньше операций чтениязаписи, чем для 4Кб.
• Кое где встречаются советы полностью отключить файл подкачки. Действительно, в отдельных случаях это может дать некоторый прирост производительности, хотя лично я не вижу в этом большой пользы. Как можно убедиться с помощью счетчиков производительности, при наличии свободной физической памяти ОС и так использует файл подкачки по минимуму, поэтому прирост будет незначительный. Если же при отключенном файле подкачки в процессе работы закончится физическая память, то приложение, потребляющее память, будет остановлено, что чревато сбоем в работе и потерей данных. Кроме того, при отсутствии файла подкачки Windows не сможет сохранить дамп памяти в случае сбоя.
• И последнее. Манипуляции с файлом подкачки не особо сильно влияют на производительность системы в целом. Повторюсь, при достаточном количестве физической памяти файл подкачки используется по минимуму. Если же в системе постоянно не хватает памяти и она активно использует файл подкачки, то в первую очередь стоит подумать о расширении физической памяти.
Информации о проблемах, возникших при работе с Windows, может помочь информация на экране или файлы в памяти – дамп. В них хранятся данные о текущем состоянии процессора, ядра и других компонентов. Сохранение этой информации часто отключено в Windows 10, поэтому пользователи могут сами настроить свой автоматический внешний вид. Давайте выясним, для каких целей нужен дамп памяти в Windows 10, какие бывают типы, как его установить.
Для чего он нужен
В файл попадают данные и «оперативные» материалы по критической ошибке. При запуске операционной системы отображается аварийный дамп, в котором сохраняется запись отладочной информации. Аварийный сбой приводит к зависанию операционной системы, поэтому дамп – единственный способ получить данные о нем. Чем точнее описана проблема, тем проще пользователю проанализировать ситуацию и найти решения по устранению недостатков операционной системы.
важно получить информацию во время ошибки. В этом помогает создание дампа памяти. Аварийный дамп используется в диагностических целях, он позволяет выявить и устранить возникшую программную ошибку.
Как работает опция? Во время запуска операционная система создает и сохраняет на диске карту секторов, которые занимает файл подкачки. В случае неисправности проверяется целостность этой карты, а также компонентов конструкции. Если не нарушено, используются опции сохранения изображения в памяти, запись данных осуществляется с использованием карты сохраненного сектора.
При следующем запуске операционной системы диспетчер инициализирует данные, проверяет наличие внутри них файлов .dmp. Затем содержимое копируется из него в файл аварийного дампа и вносятся соответствующие записи.
Чтобы включить эту опцию, пользователю потребуется выполнить ряд последовательных шагов. В инструкции нет ничего сложного, с этим справится даже новичок в этом деле:
- Коснитесь значка запуска кнопкой мыши».
- В открывшемся окне выберите раздел «Система».
- Затем выберите раздел «Дополнительные параметры».
- В открывшемся окне выберите «Параметры».
- Настроить аварийный дамп.
Желательно поставить галочку напротив значений, связанных с созданием реестра, сохранением информации в системе. В этом случае объем данных может достигать нескольких сотен гигабайт. Поэтому рекомендуется установить флажок «Заменить существующий файл дампа».
Зная все о проблемах и причинах BSoD, будет проще исправить ситуацию и вернуть систему в рабочий режим.
Типы аварийных дампов памяти
В Windows предусмотрены различные типы файлов .dmps. Основные виды:
- Мини-дамп памяти – это файл с минимальной информацией о BSoD, процессоре и драйвере, который выполнялся при возникновении критической ошибки. Весит 256 Кб; для извлечения информации необходимо установить дополнительную утилиту, например Blue Screen View. Минидамп в основном используется непрофессионалами.
- Дамп памяти ядра также невелик, но он содержит более подробную информацию, чем am. Хранит информацию о ядре, процессоре или всей памяти операционной системы.
- Полный дамп памяти – копирует системную оперативную память. Его размер соответствует объему оперативной памяти, это одновременно его преимущество и, в то же время, существенный минус. Его размер может быть огромным, что требует невероятного количества памяти устройства. Он недоступен на устройствах с 32-разрядными операционными системами.
- Автоматический дамп памяти – это новый вид, который разработчики впервые представили в Windows 8. Система самостоятельно решает, какой дамп записывать, учитывая особенности ошибки, частоту ее появления.
- Активный дамп памяти – встроенный в Windows 10, сортирует компоненты, которые не могут распознать причину ошибки. Полезно для серверов и других виртуальных сервисов.
Установка WinDbg в Windows
Инструмент разработчика Microsoft, используемый для загрузки и анализа сгенерированных с ошибками файлов .dmp или BSoD. Чтобы скачать пакет, перейдите по ссылке https://developer.microsoft.com/ru-ru/windows/downloads/windows-10-sdk/. Затем найдите «Загрузить автономный SDK». После этого пользователю необходимо будет открыть скаченную утилиту, установить ее.
В конце процесса установки Windbg должен быть связан с файлами .dmp. Для этого нужно сделать следующее:
- Вызовите строку поиска.
- Скопируйте путь и вставьте его в строку.
- Щелкните “ОК».
Далее путь к символу должен быть настроен через «Пуск».
- Найдите Все приложения, затем Windows Kit и WinDbg».
- В появившемся окне выберите «Файл» в разделе «Путь к файлу символов».
- Введите путь: SRV * C: SymCache * http: //msdl.microsoft.com/download/symbols и нажмите «ОК».
- На последнем этапе откройте «Файл», затем перейдите в «Сохранить рабочую область».
- Закройте WinDbg.
Просмотр и анализ файла мини-дампа
При выполнении операций с небольшим дампом можно использовать утилиту Nirsoft Blue Screen View, доступную любому пользователю. После открытия файла в нем будут четко указаны названия этих драйверов. После нажатия на одну из них появятся названия сервисов. Если пользователь не может прочитать решения проблемы, он может использовать поисковую систему.
Пользователь может скачать его из официального источника. Программа работает автономно, не требует загрузки дополнительных символов.
После запуска утилита немедленно начнет сканирование каталога, в котором хранятся файлы дампа. Результаты анализа появятся в отдельной таблице, где будут указаны коды ошибок минидампа и причины их возникновения. Проблемные области будут выделены красным.
Анализ и исправление ошибок:
- Для его просмотра необходимо переместить файл в окно программы, после чего загрузится отладочная информация.
- Модули с ошибками будут выделены красным цветом.
- Коснитесь имени мини-дампа, запустите поиск решения в Google, посмотрите варианты решения проблемы.
В таких случаях среди проблемных драйверов выделяется истинный источник появления синего «экрана смерти». Для более точного анализа могут применяться различные варианты анализа.
Как удалить этот файл
Если пользователю необходимо удалить минидамп, он выполняет эту процедуру вручную. А именно: перейти по пути расположения файлов на диске: C: Windows Minidump. Чтобы удалить элементы минидампа в каталоге Windows, вам необходимо использовать встроенный в систему инструмент «Очистка диска»:
- Вызовите командную строку.
- Введите команду Cleanmpg.
- Нажмите кнопку, чтобы очистить системные файлы.
- Найдите в списке элементы, связанные с мини-дампом, установите флажки.
- Начнется удаление, что займет некоторое время.
Если требуемые объекты не были найдены в списке, это не значит, что они отсутствуют в системе. Скорее всего, они отключены пользователем или программами очистки.
Дамп памяти в Windows 10 – это инструмент, который помогает диагностировать и устранять причины сбоев и появления BSoD. Если автоматическое создание и сохранение дампов памяти отключено, рекомендуется их включить. Наиболее частой причиной отключения файлов являются утилиты для очистки ПК и оптимизации производительности системы.
Источник изображения: it-tehnik.ru
Содержание
- Что такое дамп памяти и как его включить на Windows 10
- Как включить функцию дамп памяти на Windows 10 и настроить её
- Сведения о других дампах памяти
- Как удалить файла дампа памяти
- Телеметрия Windows 10. Как настроить сбор диагностических данных
- Содержание
- Параметры телеметрии в Windows 10
- Уровни телеметрии
- Безопасность
- Базовая настройка
- Расширенные данные
- Полные данные
- Настройка телеметрии через редактор локальной групповой политики
- Настройка телеметрии через системный реестр
- Часто задаваемые вопросы
- Запись отладочной информации windows 10 что ставить
- Настраиваем дамп памяти windows 10
- Где настраивается аварийный дамп памяти windows 10
- Виды дампов памяти
- Анализ дампа памяти windows 10
- Дамп памяти Windows 10
- Дамп памяти Windows 10
- Для чего нужен дамп памяти Windows 10?
- Причины появления ошибок в Windows 10 очень разнообразны:
- Как настроить дамп памяти в Windows 10?
- Настройка дампа памяти Windows 10 при сбое
- Что такое файл минидампа в Windows
- Управление аварийным дампом файла с ошибкой
- Проверить дамп памяти по умолчанию
- Записать файл дампа памяти в реестр
- Проверить виртуальную память в системе
Что такое дамп памяти и как его включить на Windows 10
Windows очень хрупкое творение и чуть что, любое неправильное действие со стороны пользователя влечёт возникновение критических ошибок, и не очень. Узнать информацию по синим экранам смерти, являющимися теми самыми критическими проблемами, помогают сведения, написанные на самом экране, а ещё специальные файлы дампы памяти – сохраняющие данные о причинах появления BsoD. Настоятельно рекомендую включать эту функцию, так как никто не застрахован от появления синего экрана, даже опытный пользователь.
Сами дампы памяти обычно хранятся по пути C:WindowsMEMORY.DMP, либо C:WindowsMinidump – где хранятся так называемые малые дампы памяти. Кстати говоря, малый дамп памяти будет тем файлом, который поможет узнать причину появления BsoD.
Обычно создание дампов памяти в Windows 10 по умолчанию отключено, а значит, использование специальных утилит для проверки файлов дампов не даст положительного результата. Давайте приступим непосредственно к действиям.
Как включить функцию дамп памяти на Windows 10 и настроить её
Обычно для просмотра дампов используют утилиты, наподобие BlueScreenView, но вам необходимо прямо сейчас настроить автоматическое создание дампов памяти иначе и эта программа, и аналогичные будут бесполезны.
Нажмите по значку поиска и введите фразу «Панель управления», чтобы открыть окно этого инструмента.
Переводим отображение значков в вид «Мелкие значки», а потом переходим в раздел «Система».
Откроется окошко, где с левой стороны нажимаем по опции «Дополнительные параметры системы».
Во вкладке «Дополнительно» жмём пунктик «Параметры» раздела «Загрузка и восстановление».
Наконец, открывается окно, где находятся основные параметры по настройке дампов. Тут видно, что в Windows активирован автоматический дамп памяти, который хранится по пути, указанному чуть ниже. А еще включены галочки создания журналов. Помимо этого, создаются и файлы малого дампа памяти, которые при работе с синими экранами смерти очень нам пригодятся. Также сохраняется информацию по ядру системы и памяти. Если стоит автоматический режим, то этого будет достаточно.
Сведения о других дампах памяти
Если открыть выпадающее меню записи отладочной информации, вы увидите несколько пунктов, которые я опишу ниже.
Как удалить файла дампа памяти
Очень просто, вы заходите по пути расположения этих файлов и вручную их удаляете. Например, файла полного дампа памяти называется MEMORY.DMP, просто удалите его и всё. При использовании инструмента «Очистка диска» тоже есть возможность удалить файлы дампов.
Дамп памяти может быть выключен по причине действия утилит по чистке системы. При использовании SSD и специальных утилит для работы с этими накопителями, они также могут отключать некоторые функции системы, чтобы твердотельный накопитель меньше подвергался процедурам чтения/записи.
Источник
Телеметрия Windows 10. Как настроить сбор диагностических данных
Windows 10 – это не первая операционная система Microsoft, которая собирает диагностические данные. Однако, именно в Windows 10 Microsoft серьезно изменила структуру собираемых данных, а также предоставила пользователям возможность контролировать параметры телеметрии.
Концепция “Windows как служба” сыграла важную роль в изменении политики телеметрии. Компания решила отказаться от схемы выхода новой версии системы раз в три года и перешла на модель выхода двух функциональных обновлений для системы в год.
Телеметрия или диагностические данные играют важную роль в развитии операционной системы, потому что Microsoft использует эти данные для анализа и улучшения Windows.
Во всех редакциях Windows 10, за исключением Enterprise, сбор диагностических данных включен по умолчанию. На самом деле большинство версий Windows 10 поставляются без возможности полностью отключить сбор телеметрической информации.
Хотя вы можете ограничить сбор данных, перейдя на объем сбора данных “Основные”, полностью заблокировать функцию телеметрии не получится.
Содержание
Параметры телеметрии в Windows 10
Windows 10 поддерживает 4 различных параметра сбора телеметрических данных, но в приложении Параметры доступно только два из них – Основные и Полные. Два оставшихся диагностических уровня “Безопасность” и “Расширенные данные” можно включить только с помощью редактора локальной групповой политики или редактора системного реестра.
Порядок уровней сбора данных в зависимости от объема следующий: Полные > Расширенные данные > Основные > Безопасность.
Примечание: уровень “Расширенные данные” не отображается, ни на этапе первоначальной настройки системы, ни в приложении Параметры. Скорее всего, Microsoft в ближайшее время от него полностью откажется.
Приложение Параметры предоставляет такой же контроль над параметры телеметрии, который вы получаете при первоначальной настройке операционной системы.
По умолчанию используется объем передачи данных “Полные”. На данном уровне Windows 10 собирает большой объем данных и регулярно отправляет их на серверы Microsoft.
Вы можете переключиться на уровень “Основные” в приложении Параметры, чтобы ограничить сбор данных. Объем данных “Основные” – самый минимальный уровень сбора, доступный в потребительских версиях Windows 10.
Если вы являетесь участником программы предварительного тестирования Windows 10 Insider Preview, то на вашем устройстве на постоянной основе будет настроен уровень “Полные”.
Примечание: Компания Microsoft выпустила новую сборку Windows 10 Insider Preview Build 19577, в которой представлены новые названия для параметров диагностических данных.
Совет: Microsoft впервые сообщила о том, какие данные собираются на этом уровне в середине 2017 года. Первое обновление функций Windows 10 в 2018 представит инструмент для просмотра собираемых данных, и, кроме того, пользователь сможет удалить собранную информацию.
Уровни телеметрии
Итак, доступны следующие уровни телеметрии:
Безопасность
Значение 0 (Безопасность) будет отправлять минимальное количество данных в корпорацию Майкрософт для безопасности Windows. Компоненты системы безопасности Windows, такие как средство удаления вредоносных программ (MSRT) и Защитник Windows, могут отправлять данные в корпорацию Майкрософт на этом уровне, если они включены.
Базовая настройка
Значение 1 (Основные) отправляет те же данные, что и значение 0, а также крайне ограниченный объем данных диагностики, например, базовые сведения об устройстве, данные о качестве и сведения о совместимости приложений. Обратите внимание, что значения 0 или 1 отрицательно скажутся на некоторых функциональных возможностях устройства.
Расширенные данные
Значение 2 (Улучшенные) отправляет те же данные, что и значение 1, а также дополнительные данные, например, об использовании Windows, Windows Server, System Center и приложений, их производительности и расширенные данные по безопасности.
Полные данные
Значение 3 (Полные) отправляет те же данные, что и значение 2, а также дополнительные данные диагностики, используемые для диагностики и устранения неполадок в устройствах. Такими данными могут быть файлы и содержимое, которые могли стать причиной проблемы в устройстве.
Настройка телеметрии через редактор локальной групповой политики
В редакторе локальной групповой политике показываются все четыре уровня сбора телеметрии, но только три из них доступны для потребительских устройств.
Чтобы запустить редактор локальной групповой политики, проделайте следующие шаги
Примечание: недоступно в Windows 10 Домашняя
Перейдите по следующему пути:
Дважды кликните по политике Разрешить телеметрию (или Разрешить сбор диагностических данных), чтобы отобразить открыть окно управления политикой.
По умолчанию политика не настроена, а это значит, что используется значение, заданное во время предварительной настройки или в приложении Параметры. Значение “Отключено” имеет аналогичный эффект – это не означает, что сбор телеметрии полностью отключен на устройстве.
Потребители и небольшие компании могут выбрать объем данных диагностики “Базовая настройка”, “Расширенные данные” и “Полные данные”. Хотя вы можете выбрать уровень “Безопасность” делать это не рекомендуется, потому что в потребительских версиях будет выполнено автоматическое переключение на уровень “Базовая настройка” и могут возникнуть проблемы с доставкой обновлений для системы.
Настройка телеметрии через системный реестр
Вы можете настроить объем собираемых диагностических данных в системном реестре. Эти действия принесут такой же результат, как и использование редактора локальной групповой политики.
Чтобы настроить телеметрию перейдите по пути:
Измените значение параметра Dword с именем AllowTelemetry на одно из значений:
Примечание:
Если параметр Dword для AllowTelemetry не существует, кликните правой кнопкой мыши по разделу DataCollection и выберите Создать > Параметр DWORD (32 бита) для его создания.
Часто задаваемые вопросы
Что такое телеметрия в Windows 10?
Телеметрия или диагностические данные – это данные, которые Windows 10 автоматически собирает для отправки на серверы Microsoft. Microsoft заявляет, что данные обезличены и помогают компании разрабатывать Windows 10.
Как отключить сбор данных Windows 10?
Вы не можете сделать это, используя встроенные функции операционной системы. Вы только можете изменить уровень уровень сбора телеметрии с “Полные” на “Основные”, чтобы ограничить объем передаваемых Microsoft данных.
Неужели нет другого способа?
Существует способ, но он может повлиять на функциональность других компонентов операционной системы. Вам необходимо заблокировать серверы Microsoft, чтобы предотвратить соединение с этими серверами. Используйте скрипт Debloat Windows 10, который выполняет блокировку серверов, но сначала создайте резервную копию системы.
В чем разница между диагностическими данными и другими параметрами конфиденциальности Windows 10?
Телеметрия относится к автоматическому сбору диагностических данных. Остальные настройки конфиденциальности в основном определяют разрешения приложений. Эти настройки не считаются телеметрией, но они по-прежнему связаны с конфиденциальностью.
Источник
Запись отладочной информации windows 10 что ставить
Добрый день уважаемые коллеги и читатели блога pyatilistnik.org. Сегодня я хочу вам рассказать как производится анализ дампа памяти windows 10 Redstone. Делается это в большинстве случаев когда у вас выскакивает синий экран смерти с ошибкой, после чего ваш компьютер перезагружается. И данный анализ помогает понять причину сбоя.
Настраиваем дамп памяти windows 10
И так, что же такое дамп памяти в операционной системе Windows 10 Redstone. Выше я вам описал, очень частую причину при которой появляется дамп памяти системы и это синие экраны смерти. Причины их появления очень обширны:
Это лишь маленький обобщенный список, так как кодов ошибок от синих экраном, целая тьма, приведу самые последние из них.
Наша с вами задача, уметь найти эти файлы для диагностики и уметь их интерпретировать, для получения информации о проблеме.
Где настраивается аварийный дамп памяти windows 10
Для начала давайте разберемся, где производится настройка, которая отвечает за аварийный дамп памяти windows 10. Щелкаете правым кликом по кнопке пуск Windows 10 и из контекстного меню выбираете пункт Система.
В открывшемся окне Система, вы в левом верхнем углу выбираете Дополнительные параметры Системы.
Именно тут и настраивается дамп памяти windows 10. жмем пункт параметры в Загрузка и восстановление.
Из настроек, дампа памяти windows 10, хочу отметить следующие:
Виды дампов памяти
Давайте рассмотрим, чем же отличаются варианты записи отладочной информации
– сообщение о неустранимой ошибке, ее параметры и прочие данные;
– список загруженных драйверов;
– контекст процессора (PRCB), на котором произошел сбой;
– сведения о процессе и контекст ядра (EPROCESS) для процесса, вызвавшего ошибку;
– сведения о процессе и контекст ядра (ETHREAD) для потока, вызвавшего ошибку;
– стек вызовов в режиме ядра для потока, вызвавшего ошибку.
Его используют, когда у вас очень мало дискового пространства на вашем локальном диске. За счет этого мы жертвуем полезной информацией, которой может не хватить для диагностики синего экрана.
Теперь когда у вас появится синий экран, то дамп памяти windows 10, вы будите искать в папке C:Windows.
Анализ дампа памяти windows 10
Ну и естественно давайте рассмотрим вопрос, как производится анализ дампа памяти windows 10, тут все просто, переходите по ссылке чуть выше и читаете статью Как анализировать синий экран dump memory в Windows. В которой я подробнейшим образом рассказал, как вам можно узнать причину падения и краха вашей операционной системы Windows 10. Желаю вам, чтобы экраны смерти обходили ваш компьютер стороной.
Источник
Дамп памяти Windows 10
При возникновении критической ошибки при работе с Windows пользователь может задаться вопросом: каким образом можно получить доступ к аварийному дампу памяти Windows? Подобный дамп при правильной настройке конфигурации системы поможет запустить систему в случае сбоя или так называемого синего экрана смерти (BSOD).
Если у вас в процессе настройки дампа памяти возникнут проблемы или операционная система после этого будет работать не корректно то вы можете сделать сброс до заводских настроек.
Дамп памяти Windows 10
Дамп памяти — это то, что находится в рабочей памяти всей операционной системы, процессора и его ядер. Включая всю информацию о состоянии регистров процессора и других служебных структур.
Для чего нужен дамп памяти Windows 10?
Дамп памяти windows 10 является своеобразным чёрным ящиком. При аварии в системе информация, хранящаяся в нём, поможет детально изучить причины возникновения системного сбоя. Данный сбой, как правило, полностью останавливает работу операционной системы. Поэтому дамп памяти — это единственный и самый верный способ получения сведений о любом сбое в системе. И его получение — это фактический слепок информации, находящейся в системе.
Чем более точно содержимое дампа памяти будет отражать происходившее в системе на момент сбоя, тем проще будет при анализе аварийной ситуации и дальнейших действиях по её исправлению.
Крайне важно получить актуальную копию именно в тот момент, который был непосредственно перед сбоем. И единственный способ это сделать — создать аварийный дамп памяти Windows 10.
Причины появления ошибок в Windows 10 очень разнообразны:
— несовместимость подключаемых устройств;
— новые обновления Windows 10;
— несовместимость устанавливаемых драйверов;
— несовместимость устанавливаемых приложений;
Как настроить дамп памяти в Windows 10?
Для того чтобы настроить аварийный дамп памяти Windows 10 необходимо придерживаться следующих действий:
1. Правой кнопкой мыши кликаем на пуск Windows 10. В появившемся контекстном меню выбираем пункт «Система».
2. В окне «Система» в верхнем углу слева выбираем «Дополнительные параметры системы».
3. В окне «Свойства системы» в пункте «Загрузка и восстановление» нажимаем «Параметры».
Тут и происходит настройка аварийного дампа памяти Windows 10.
Настраивая дамп памяти можно не пренебрегать следующими рекомендациями:
— Поставить галочку на «заменить существующий файл дампа». Учитывая тот факт, что данные могут весить десятки, а то и сотни гигабайт — это очень полезно для небольших жёстких дисков;
— Запись отладочной информации. Эта функция позволит выбрать вид дамп файла;
— Выполнить автоматическую перезагрузку. Продолжение работы, после возникшей ошибки;
— Запись события в системный журнал. Информация о системном сбое будет добавлена в логи операционной системы.
Дамп памяти Windows 10 является удобным и действительно работающим методом страховки системных данных.
Зная «врага в лицо» его будет в разы проще найти и ликвидировать. Дамп памяти Windows 10 позволит выявить причину системного сбоя и скорректировать действия по ликвидации ошибки, значительно уменьшив радиус усилий и работ.
Источник
Настройка дампа памяти Windows 10 при сбое
В качестве примера приведите случай, о котором мы собираемся поговорить в тех же строках, и в то же время мы покажем вам, как решить его наилучшим образом. В частности, ниже мы собираемся определить причину и искать решение проблем, которые мы можем найти в Windows 10 и которые в конечном итоге создадут файл с именем Minidump.
Что такое файл минидампа в Windows
Они известны как синие экраны смерти, с которыми мы сталкивались не один раз и которых мы все боимся в операционной системе. Как только мы их узнаем, скажем, что эти файлы, о которых мы говорим, хранятся в определенном каталоге. В частности, Windows использует следующий путь к диску:
В других случаях и в зависимости от версия программного обеспечения Windows который мы используем, этот файл также можно сохранить по следующему пути:
Если в Windows возникли какие-либо неожиданные проблемы, сбои или синие экраны, здесь система сохранит файл с именем, похожим на этот Mini031120-01.dmp. Что на самом деле дает нам представление о числах, составляющих имя файла, так это дата, когда произошел сбой, и номер файла дампа.
Управление аварийным дампом файла с ошибкой
Но в некоторых случаях или на определенных компьютерах с Windows с дополнительными дисками Minidump файл может быть сохранен в другом месте. Примером может служить случай, когда у нас есть компьютер, на котором есть слоты для SSD карты памяти. Эти дополнения со временем становятся все более распространенными из-за внешних устройств, которые используют эти карты флэш-памяти.
Проверить дамп памяти по умолчанию
Следовательно, чтобы переопределить это поведение Windows по умолчанию, мы должны настроить специальный параметр реестра на ПК. Это именно то, о чем мы поговорим дальше, мы собираемся переопределить функцию энергосбережения Windows eMMC во время сбоя или синего экрана. Благодаря этому нам удалось произвести полный дамп памяти в желаемом месте на диске.
Перед тем, как начать, так как это реестра операции рекомендуется сделать резервную копию реестра. Мы также можем создать точку восстановления системы на случай, если процедура пойдет не так. Конечно, прежде чем использовать реестр как таковой, мы будем использовать поле поиска, которое находится рядом с меню «Пуск». Здесь мы набираем Расширенная конфигурация системы, запись в которой нажимаем.
В появившемся новом окне щелкните значок Настройки в разделе «Запуск и восстановление» на вкладке «Дополнительные параметры». На этом этапе мы смотрим на раскрывающийся список для записи отладочной информации. Это должно быть настроено как дамп памяти или полный дамп памяти.
Записать файл дампа памяти в реестр
Затем мы щелкаем правой кнопкой мыши пустое место на правой панели, выбираем New / DWORD Value (32-bit) и называем его ForceF0State. Мы дважды щелкаем только что созданный ключ и устанавливаем значение 0x1.
Как только это будет сделано, мы нажимаем ОК, а затем мы собираемся убедиться, что файл дампа не удаляется при перезапуске, даже если у нас заканчивается свободное место на диске. Для этого переходим в следующий ключ редактора:
Затем мы щелкаем правой кнопкой мыши пустое место на правой панели и снова выбираем New / DWORD Value (32 бита). Назовем его AlwaysKeepMemoryDump и установим для него значение 1.
Проверить виртуальную память в системе
Для завершения нам нужно только перезагрузить компьютер.
Источник
Обновлено 18.08.2016
Добрый день уважаемые коллеги и читатели блога pyatilistnik.org. Сегодня я хочу вам рассказать как производится анализ дампа памяти windows 10 Redstone. Делается это в большинстве случаев когда у вас выскакивает синий экран смерти с ошибкой, после чего ваш компьютер перезагружается. И данный анализ помогает понять причину сбоя.
Настраиваем дамп памяти windows 10
И так, что же такое дамп памяти в операционной системе Windows 10 Redstone. Выше я вам описал, очень частую причину при которой появляется дамп памяти системы и это синие экраны смерти. Причины их появления очень обширны:
- Не совместимость приложений
- Не совместимость драйверов
- Новые обновления Windows
- Не совместимость устройств
Это лишь маленький обобщенный список, так как кодов ошибок от синих экраном, целая тьма, приведу самые последние из них.
Наша с вами задача, уметь найти эти файлы для диагностики и уметь их интерпретировать, для получения информации о проблеме.
Где настраивается аварийный дамп памяти windows 10
Для начала давайте разберемся, где производится настройка, которая отвечает за аварийный дамп памяти windows 10. Щелкаете правым кликом по кнопке пуск Windows 10 и из контекстного меню выбираете пункт Система.
В открывшемся окне Система, вы в левом верхнем углу выбираете Дополнительные параметры Системы.
Именно тут и настраивается дамп памяти windows 10. жмем пункт параметры в Загрузка и восстановление.
Из настроек, дампа памяти windows 10, хочу отметить следующие:
- Запись события в системный журнал > тут информация о синем экране будет добавлена в логи операционной системы.
- Выполнить автоматическую перезагрузку > чтобы продолжить после ошибки работу
- Запись отладочной информации > позволяет выбрать вид дамп файла, об этом ниже.
- Заменить существующий файл дампа, полезная галка, так как данные дампы могут весить десятки гигабайт, очень критично для маленьких ссд дисков.
Виды дампов памяти
Давайте рассмотрим, чем же отличаются варианты записи отладочной информации
- Малый дамп памяти 256 кб: Файлы малого дампа памяти содержат следующие сведения:
– сообщение о неустранимой ошибке, ее параметры и прочие данные;
– список загруженных драйверов;
– контекст процессора (PRCB), на котором произошел сбой;
– сведения о процессе и контекст ядра (EPROCESS) для процесса, вызвавшего ошибку;
– сведения о процессе и контекст ядра (ETHREAD) для потока, вызвавшего ошибку;
– стек вызовов в режиме ядра для потока, вызвавшего ошибку.
Его используют, когда у вас очень мало дискового пространства на вашем локальном диске. За счет этого мы жертвуем полезной информацией, которой может не хватить для диагностики синего экрана.
Хранится мини дамп по пути C:WindowsMinidump
- Дамп памяти ядра > записывает только память ядра. В зависимости от объема физической памяти ПК в этом случае для файла подкачки требуется от 50 до 800 МБ или одна треть физической памяти компьютера на загрузочном томе.
- Полный дамп памяти > ну тут и так все понятно из названия. Пишет абсолютно все, это максимальная информация о синем экране, дает сто процентную диагностику проблемы.
Располагается по пути C:WindowsMemory.dmp
- Активный дамп памяти > сюда попадает активная память хостовой машины, это функция больше для серверных платформ, так как они могут использоваться для виртуализации, и чтобы в дамп не попадала информация о виртуальных машинах, придумана данная опция.
Я советую оставлять полный дамп памяти
.
Теперь когда у вас появится синий экран, то дамп памяти windows 10, вы будите искать в папке C:Windows.
Анализ дампа памяти windows 10
Ну и естественно давайте рассмотрим вопрос, как производится анализ дампа памяти windows 10, тут все просто, переходите по ссылке чуть выше и читаете статью Как анализировать синий экран dump memory в Windows. В которой я подробнейшим образом рассказал, как вам можно узнать причину падения и краха вашей операционной системы Windows 10. Желаю вам, чтобы экраны смерти обходили ваш компьютер стороной.
Получаем образ оперативной памяти
Содержание оперативной памяти является очень важной информацией при изучении предыдущих действий с машиной. Оперативная память может содержать как части самих исполняемых процессов, так и части удаленных файлов, пользовательских сессий, криптографических ключей. При современном распространении сложных систем защиты информации, основанных на криптовании восстановление их ключей становиться чуть-ли не одной из основных задач для исследования. В защищенных системах зачастую оперативная память это единственное место где могут сохраниться защитные ключи и другая временная, но очень важная информация.
Процесс получения информации, которая содержится в оперативной памяти состоит из двух этапов: изъятие содержимого оперативной памяти
и
анализ полученных во время изъятия данных.
Обращая внимание на первый этап стоит заметить, что изъятие оперативной памяти может быть выполнено с помощью ряда средств: непосредственный доступ к памяти с использованием специальных плат расширения, порта FireWire, и даже физическом изъятии запоминающего устройства оперативной памяти (потребует замораживания плат),
но в данном материале мы рассмотрим программные средства, которые позволяют изъять содержимое оперативной памяти защищенных машин путем так называемой «горячей» перезагрузки и запуска машины в Live-режиме.
Для выполнения этой задачи будем использовать специальный дистрибутив Ubuntu CyberPack (IRF) 1.0, состоящий из минимального набора компонент, а именно, только те, которые необходимы для изъятия данных из памяти. Соответственно отсутствует и графический интерфейс.
Использование такого подхода к изъятию содержимого оперативной памяти имеет ряд преимуществ и недостатков сравнительно с другими перечисленными выше средствами.
Плюсы:
— использование Live-дистрибутива позволяет проводить действие не зависимо от того какая операционная система установлена на исследуемой машине;
— отсутствуют затраты на приобретение дорогостоящих специальных устройств, кабелей, плат, и др.
Недостаток:
— содержимое оперативной памяти будет неполным — ее часть будет перезаписана данными, необходимыми для запуска Live-дистрибутива (приблизительно 125 Мб).
Для использования доступны специально собранные дистрибутивы для машин с памятью объемом до 3 Гб (і386) и свыше 3 Гб (amd64). С их помощью можно создать загрузочный CD/DVD-диск или загрузочный USB-диск.
Замечания:
— второго шанса система нам не дает — у нас есть только одна попытка. т. е. при повторной перезагрузке исследуемого компьютера большая вероятность того что мы уже не найдем необходимой информации. Отсюда следует что не надо перезагружать его несколько раз, экспериментировать, прицеливаться.
Необходимо заранее подготовится и знать как компьютер себя поведет после перезагрузки.
Большинство современных компьютеров позволяют прямо при старте указать откуда производить загрузку, но если этого нет, тогда необходимого настроить BIOS машины на загрузку с CD/DVD-привода или USB-привода/накопителя, после чего загрузить Live-дистрибутив с указанного устройства.
Перезагружаем компьютер.
ВАЖНО: перезагрузка ни в коем случае не должна быть холодной (путем нажатия кнопки «ресет» или выключениевключение питания), а именно — перезагрузка должна быть осуществлена средствами самой работающей системы (например нажатием кнопок Ctrl-Alt-Del или путем выбора пункта «перезагрузка» в системе)
После загрузки дистрибутива пользователю доступна привычная строка консоли Linux, и краткая информация для запуска модуля.
Подготовка к работе программы fmem заключается в выполнении следующих команд:
$ sudo -s
# cd /opt (переход в папку где находиться программа);
# ./run-fmem.sh (скрипт запуска модуля съема памяти);
Замечание: Для дальнейших действий понадобиться примонтировать заранее подготовленный носитель (внешний жесткий диск, флеш-накопитель) с файловой системой ext2/3/4, в который будет сохраняться файл с содержимым оперативной памяти.
Для того, что бы узнать какой идентификатор присоединенному носителю присвоила система, необходимо после его подключения к компьютеру ввести следующую команду:
# dmesg | tail (Команда выводит на экран информацию буфера сообщений ядра. Нас будет интересовать последняя запись.)
Как например вот это:
[16091.995428] sd 9:0:0:0: Attached scsi generic sg2 type 0
[16091.995996] sd 9:0:0:0: [sdb] 32096120 512-byte logical blocks: (16.4 GB/15.3 GiB)
[16091.998192] sd 9:0:0:0: [sdb] Write Protect is off
[16091.998205] sd 9:0:0:0: [sdb] Mode Sense: 0b 00 00 08
[16091.999433] sd 9:0:0:0: [sdb] No Caching mode page found
[16091.999447] sd 9:0:0:0: [sdb] Assuming drive cache: write through
[16092.003486] sd 9:0:0:0: [sdb] No Caching mode page found
[16092.003495] sd 9:0:0:0: [sdb] Assuming drive cache: write through
[16092.004251] sdb: sdb1
(где «sdb» — присвоенное обозначение физического накопителя, а «sdb1» — присвоенное обозначение логического раздела накопителя).
Далее следует примонтировать логический раздел накопителя к папке /tmp загруженной в Live-режиме операционной системы:
# mount /dev/sdb1 /tmp
(где
«mount» — команда монтирования устройства
«/dev/sdb1» — адрес файла логического раздела присоединенного накопителя
«/tmp» — папка в которую необходимо подключить накопитель).
Все подготовительные шаги сделаны — можно переходить к изъятию содержимого оперативной памяти:
# dd if=/dev/fmem of=/tmp/ram-image.mem bs=1K count=`head -1 /proc/meminfo | awk ‘‘`
(где
«dd» — команда создания образа
«if=/dev/fmem» — источник данных, а именно оперативная память
«of=/tmp/ram-image.mem» — запись в файл «ram-image.mem» в папку «/tmp»
«bs=1K» — размер блока информации — 1 Кб
«count=`head -1 /proc/meminfo | awk ‘‘`» — объем оперативной памяти, информация о которой извлекается из файла /proc/meminfo).
И ждем…
В результате удачного выполнения команды, мы получим сообщение похожее на это:
521453568 bytes (521 MB) copied, 158.405 s, 3.3 MB/s
(где
«521453568 bytes (521 MB) copied» — объем скопированной информации
«158.405 s» — время в течении которого проводилась операция
«3.3 MB/s» — скорость при которой проводилась операция)
В результате мы получили содержимое оперативной памяти машины в файле «ram-image.mem» на накопителе. Теперь его можно обрабатывать в т.ч. извлекая части исполняемых процессов, удаленных файлов, информацию о пользовательских сессиях, криптографических ключах и многое другое.
P.S.
Также стоит обратить внимание что все современные системы используют в своей работе и swap-память (так называемый «файл подкачки»)
Файл подкачки – это своеобразное дополнение к оперативной памяти (которая занимается временным хранением данных для быстрой доставки их на обработку процессору) Вашего компьютера. Даже не столько дополнение, сколько её уширение или, можно сказать, продолжение. Дело в том, что когда не хватает оперативной памяти система может переносить данные из памяти на диск (так называемая дополнительная память), в котором соответственно также хранятся данные.
И для полной картины анализа памяти необходимо также получить и их.
Различные операционные системы используют разные способы их хранения.
В случае с Windows это обычно файлы в корне на системном диске С:
pagefile.sys для Win XP и Win 7 и достаточно просто скопировать файл
Для Linux — это отдельный раздел на носителе.
Например:
Команда sudo fdisk -l /dev/sda
покажет нам все разделы в системе
/dev/sda1 * 2048 78125055 39061504 83 Linux
/dev/sda2 78125056 117186559 19530752 82 Linux своп / Solaris
/dev/sda3 117186560 625141759 253977600 83 Linux
Исходя из чего мы видим что раздел подкачки находиться в /dev/sda2
Скопировать его можно также с помощию команды dd.
Например:
dd if=/dev/sda2 of=/media/<путь куда записать>/linux-swap.dd
Для MacOS необходимо скопировать все файлы из директории /private/var/vm/swapfile*
Обработка и анализ полученных результатов (как дампа оперативной памяти так и swap-памяти) может проводиться как в ручную с помощью например HEX-редактора, так и с помощью ряда программ о которых будет рассказано в следующий раз.
С критическими ошибками «оконной» ОС знаком практически каждый её пользователь, и появляющиеся при этом синие экраны смерти (BSoD) обычно ничего хорошего не предвещают. Они могут быть спровоцированы программными или аппаратными причинами, и поскольку источник неприятности не всегда очевиден, решение начинается с диагностических мероприятий.
Исправить ошибку бывает непросто, и часто самым полезным средством для диагностики причин возникшего сбоя становится дамп памяти, представляющий собой снимок состояния оперативной памяти операционки с отладочными сведениями. Причём в Windows не всегда активировано автоматическое создание и сохранение на жёсткий диск дампов памяти, тогда как в исправлении BSoD независимо от характера сбоя эти данные могут сильно помочь.
Для чего нужен дамп памяти Windows
Содержимое оперативной памяти и материалы, касающиеся сбоя, могут писаться в файл подкачки, при следующем старте операционки создаётся аварийный дамп с информацией об отладке, сформированной на базе сохранённых данных (ОС может создавать memory dump и минуя файл подкачки). В журнале событий будет сделана запись об ошибке, если данная опция настроена.
Вывод участка дампа 32-х битной ОС Windows с помощью программы Debug.exe
Тип записываемого дампа может задаваться в свойствах ОС, поддерживаются варианты:
- Малый дамп памяти. Включает немного сведений, в частности это код ошибки с параметрами, список установленных в Виндовс драйверов и т. д., но этой информации бывает достаточно для выявления источника проблемы. Элемент, как правило, будет записан в каталоге C:WindowsMinidump.
- Дамп памяти ядра. Выполняется сохранение сведений оперативной памяти, связанных только с режимом ядра, исключая информацию, не указывающую на источник появления сбоя.
- Полный дамп системы. Содержимым является вся память операционки, что может создать проблемы при создании снимка, если объём ОЗУ составляет более 4Гб. Обычно пишется в файл C:WindowsMEMORY.DMP.
- Автоматический дамп памяти (стал доступным с восьмой версии Виндовс). Содержит те же записи, что и memory dump ядра, при этом отличается способом управления системой размером файла подкачки.
- Активный дамп памяти (представлен в «Десятке»). Содержит только активную память хоста из режимов ядра и пользователя* (возможность была изначально реализована для серверов, чтобы при диагностике в дамп не попадали виртуальные машины).
*Дамп пользовательского режима представляет собой дамп определённого процесса. Так, содержимым может являться полная память процесса или фрагмент, список, стек, состояние потоков, списки библиотек, состояние потоков, дескрипторы объектов ядра.
Чаще всего аварийный дамп памяти Windows 7, 8, 10 используется в целях диагностики и позволяет выяснить, как исправить критическую ошибку. Проанализировав содержимое, можно понять, что стало причиной неполадки, и приступить к её устранению.
Как включить создание дампа памяти в Windows
Чтобы активировать автоматическое сохранение memory dump в Виндовс, нужно сделать следующее:
- Переходим к свойствам системы любым удобным способом. Например, жмём правой кнопкой мыши по значку «Мой компьютер» (или «Этот компьютер» на «Десятке»). Выбираем «Свойства», затем в перечне опций в левой колонке жмём «Дополнительные параметры системы». Альтернативный вариант – использование Панели управления, где следует перейти в раздел «Система» (то же окно появится при использовании клавиш Win+Pause), а затем в «Дополнительные параметры системы». В Виндовс 10 также можно применить оснастку «Параметры»(Win+I). В окне нужно перейти к разделу «Система – «О системе» – «Сведения о системе» и далее в дополнительные параметры ОС.
- В открывшемся окне на вкладке «Дополнительно» в области «Загрузка и восстановление» жмём «Параметры».
- В итоге манипуляций откроется следующее окно, где следует выбрать тип записи отладочной информации, задать параметры, проставив в нужных пунктах галочки, после чего нажать кнопку «ОК».
Как настроить дамп памяти в Windows
Настройки действий, производимых при аварийной остановке работы ОС, выполняются в том же окне, что и включение создания memory dump («Загрузка и восстановление»), куда мы попадаем из свойств системы.
Здесь можно настроить параметры запуска ОС и назначить определённые действия в случае её отказа, например:
- указать режим записи дампа со сведениями отладки (по умолчанию выбран автоматический, но может быть выставлено значение «Нет»);
- записать события в журнал (записи добавляются в логи);
- отмеченный пункт «Выполнить автоматическую перезагрузку» позволяет системе перезагрузиться после сбоя и продолжить функционировать;
- при выборе опции «Заменять существующий файл дампа», объект будет подвергаться перезаписи при каждой появляющейся ошибке.
При эксплуатации SSD лучше оставить тип записи «Автоматический дамп памяти», но если нужен файл аварийного дампа, лучше выставить «Малый дамп памяти», он самый лёгкий и его несложно переслать другому пользователю, если вам нужна помощь в анализе состояния.
Иногда может потребоваться увеличение размера файла подкачки больше, чем доступно в оперативке, чтобы он соответствовал полному дампу.
Прочитать memory dump можно посредством специализированных утилит, таких как Microsoft Kernel Debugger, BlueScreenView и других.
Установка WinDbg в Windows
Утилита, являющаяся отладчиком для юзермодных приложений и драйверов, позволяет проанализировать снимок памяти и выяснить, что спровоцировало BSoD. Поставляется она в составе пакета SDK для Windows 10, инсталлятор скачивается на сайте Microsoft. Для Семёрки и ранних версий систем WinDbg можно найти в пакете Microsoft Windows SDK for Windows 7 and NET Framework 4.
Анализ аварийного дампа памяти в WinDbg
Перед анализом memory dump необходимо выполнить некоторые настройки. Для работ с софтом понадобится пакет символов отладки Debugging Symbols, загруженный с учётом версии и разрядности системы.
Можно настроить извлечение утилитой символов из интернета, что безопасно, поскольку используется официальный ресурс компании Майкрософт.
Ассоциирование файлов .dmp с WinDbg
Для того чтобы объекты при нажатии на них открывались посредством утилиты:
- В консоли командной строки, запущенной от имени администратора (например, через меню Пуск) выполняем команды (зависимо от разрядности ОС):
cd C:Progran Files (x86)Windows Kits10Debuggersx64
exe –IA
cd C:Progran Files (x86)Windows Kits10Debuggersx86
exe –IA
Теперь файлы типов .DMP, .HDMP, .MDMP, .KDMP, .WEW будут ассоциироваться с приложением.
Настройка сервера отладочных символов
Отладочные символы, которые генерируются в процессе компиляции приложения вместе с исполняемым файлом, нужны при отладке. Настраиваем WinDbg на извлечение символов из сети:
- в окне WinDbg жмём «File» и выбираем «Symbol Fie Path…» или жмём Ctrl+S;
- указываем путь для загрузки, прописав строчку:
Анализ memory dump в WinDbg
Чтобы перейти к процедуре, открываем объект в утилите (File – Open Crash Dump) или, если предварительно настраивались ассоциации файлов, открываем элемент щелчком мыши. Утилита начнёт анализировать файл, затем выдаст результат.
В окне предполагается ввод команд. Запрос «!analyze –v» позволит получить более детальные сведения о сбое (STOP-код, имя ошибки, стек вызовов команд, приведших к проблеме и другие данные), а также рекомендации по исправлению. Для остановки отладчика в меню программы жмём «Debug» – «Stop Debugging».
Как удалить файлы дампа памяти
Если понадобилось удалить memory dump, это можно выполнить вручную, пройдя по пути месторасположения объекта на диске. Так, в системном каталоге Windows нужно найти и удалить файл MEMORY.DMP, а также элементы в каталоге Minidump. Кроме того, можно использовать штатный инструмент системы «Очистка диска»:
- вызываем консоль «Выполнить» (Win+R) и вводим команду «Cleanmgr», чтобы перейти к службе;
- жмём кнопку очищения системных файлов, затем находим и отмечаем в списке строчки, касающиеся memory dump. Если не нашлось, значит, их не создавали.
Создание снимков бывает отключено, даже если вы когда-либо активировали эту функцию по причине деятельности специального софта. Если речь о SSD-накопителе, это могут быть программы для работы с твердотельными дисками. Отключение некоторых опций ОС выполняется ими с целью оптимизации работы, поскольку многократные процессы чтения/записи сокращают продолжительность жизни диска. Также причиной отключения дампа памяти могут быть различные программы очистки компьютера и оптимизации системы.
Анализ дампа памяти в Windows при BSOD с помощью WinDBG
12.07.2019
itpro
Windows 10, Windows Server 2016
комментариев 9
В момент критического сбоя операционная система Windows прерывает работу и показывает синий экран смерти (BSOD). Содержимое оперативной памяти и вся информация о возникшей ошибке записывается в файл подкачки. При следующей загрузке Windows создается аварийный дамп c отладочной информацией на основе сохраненных данных. В системном журнале событий создается запись о критической ошибке.
Типы аварийных дампов памяти Windows
На примере актуальной операционной системы Windows 10 (Windows Server 2016) рассмотрим основные типы дампов памяти, которые может создавать система:
- Мини дамп памяти (Small memory dump) (256 КБ). Этот тип файла включает минимальный объем информации. Он содержит только сообщение об ошибке BSOD, информацию о драйверах, процессах, которые были активны в момент сбоя, а также какой процесс или поток ядра вызвал сбой.
- Дамп памяти ядра (Kernel memory dump). Как правило, небольшой по размеру — одна треть объема физической памяти. Дамп памяти ядра является более подробным, чем мини дамп. Он содержит информацию о драйверах и программах в режиме ядра, включает память, выделенную ядру Windows и аппаратному уровню абстракции (HAL), а также память, выделенную драйверам и другим программам в режиме ядра.
- Полный дамп памяти (Complete memory dump). Самый большой по объему и требует памяти, равной оперативной памяти вашей системы плюс 1MB, необходимый Windows для создания этого файла.
- Автоматический дамп памяти (Automatic memory dump). Соответствует дампу памяти ядра с точки зрения информации. Отличается только тем, сколько места он использует для создания файла дампа. Этот тип файлов не существовал в Windows 7. Он был добавлен в Windows 8.
- Активный дамп памяти (Active memory dump). Этот тип отсеивает элементы, которые не могут определить причину сбоя системы. Это было добавлено в Windows 10 и особенно полезно, если вы используете виртуальную машину, или если ваша система является хостом Hyper-V.
Как включить создание дампа памяти в Windows?
С помощью Win+Pause откройте окно с параметрами системы, выберите «Дополнительные параметры системы» (Advanced system settings). Во вкладке «Дополнительно» (Advanced), раздел «Загрузка и восстановление» (Startup and Recovery) нажмите кнопку «Параметры» (Settings). В открывшемся окне настройте действия при отказе системы. Поставьте галку в чек-боксе «Записать события в системный журнал» (Write an event to the system log), выберите тип дампа, который должен создаваться при сбое системы. Если в чек-боксе «Заменять существующий файл дампа» (Overwrite any existing file) поставить галку, то файл будет перезаписываться при каждом сбое. Лучше эту галку снять, тогда у вас будет больше информации для анализа. Отключите также автоматическую перезагрузку системы (Automatically restart).
В большинстве случаев для анализа причины BSOD вам будет достаточно малого дампа памяти.
Теперь при возникновении BSOD вы сможете проанализировать файл дампа и найти причину сбоев. Мини дамп по умолчанию сохраняется в папке %systemroot%minidump. Для анализа файла дампа рекомендую воспользоваться программой WinDBG (Microsoft Kernel Debugger).
Установка WinDBG в Windows
Утилита WinDBG входит в «Пакет SDK для Windows 10» (Windows 10 SDK). Скачать можно здесь.
Файл называется winsdksetup.exe, размер 1,3 МБ.
Запустите установку и выберите, что именно нужно сделать – установить пакет на этот компьютер или загрузить для установки на другие компьютеры. Установим пакет на локальный компьютер.
Можете установить весь пакет, но для установки только инструмента отладки выберите Debugging Tools for Windows.
После установки ярлыки WinDBG можно найти в стартовом меню.
Настройка ассоциации .dmp файлов с WinDBG
Для того, чтобы открывать файлы дампов простым кликом, сопоставьте расширение .dmp с утилитой WinDBG.
- Откройте командную строку от имени администратора и выполните команды для 64-разрядной системы: cd C:Program Files (x86)Windows Kits10Debuggersx64
windbg.exe –IA
для 32-разрядной системы:
C:Program Files (x86)Windows Kits10Debuggersx86
windbg.exe –IA - В результате типы файлов: .DMP, .HDMP, .MDMP, .KDMP, .WEW – будут сопоставлены с WinDBG.
Настройка сервера отладочных символов в WinDBG
Отладочные символы (debug-символы или symbol files) – это блоки данных, генерируемые в процессе компиляции программы совместно с исполняемым файлом. В таких блоках данных содержится информация о именах переменных, вызываемых функциях, библиотеках и т.д. Эти данные не нужны при выполнении программы, но полезные при ее отладке. Компоненты Microsoft компилируются с символами, распространяемыми через Microsoft Symbol Server.
Настройте WinDBG на использование Microsoft Symbol Server:
- Откройте WinDBG;
- Перейдите в меню File –> Symbol File Path;
- Пропишите строку, содержащую URL для загрузки символов отладки с сайта Microsoft и папку для сохранения кэша: SRV*E:Sym_WinDBG*http://msdl.microsoft.com/download/symbols В примере кэш загружается в папку E:Sym_WinDBG, можете указать любую.
- Не забывайте сохранить изменения в меню File –> Save WorkSpace;
WinDBG произведет поиск символов в локальной папке и, если не обнаружит в ней необходимых символов, то самостоятельно загрузит символы с указанного сайта. Если вы хотите добавить собственную папку с символами, то можно сделать это так:
Если подключение к интернету отсутствует, то загрузите предварительно пакет символов с ресурса Windows Symbol Packages.
Анализ аварийного дампа памяти в WinDBG
Отладчик WinDBG открывает файл дампа и загружает необходимые символы для отладки из локальной папки или из интернета. Во время этого процесса вы не можете использовать WinDBG. Внизу окна (в командной строке отладчика) появляется надпись Debugee not connected.
Команды вводятся в командную строку, расположенную внизу окна.
Самое главное, на что нужно обратить внимание – это код ошибки, который всегда указывается в шестнадцатеричном значении и имеет вид 0xXXXXXXXX (указываются в одном из вариантов — STOP: 0x0000007B, 02.07.2019 0008F, 0x8F). В нашем примере код ошибки 0х139.
Отладчик предлагает выполнить команду !analyze -v, достаточно навести указатель мыши на ссылку и кликнуть. Для чего нужна эта команда?
- Она выполняет предварительный анализ дампа памяти и предоставляет подробную информацию для начала анализа.
- Эта команда отобразит STOP-код и символическое имя ошибки.
- Она показывает стек вызовов команд, которые привели к аварийному завершению.
- Кроме того, здесь отображаются неисправности IP-адреса, процессов и регистров.
- Команда может предоставить готовые рекомендации по решению проблемы.
Основные моменты, на которые вы должны обратить внимание при анализе после выполнения команды !analyze –v (листинг неполный).
*****************************************************************************
* *
* Bugcheck Analysis *
* *
*****************************************************************************
Символическое имя STOP-ошибки (BugCheck)
KERNEL_SECURITY_CHECK_FAILURE (139)
Описание ошибки (Компонент ядра повредил критическую структуру данных. Это повреждение потенциально может позволить злоумышленнику получить контроль над этой машиной):
A kernel component has corrupted a critical data structure. The corruption could potentially allow a malicious user to gain control of this machine.
Аргументы ошибки:
Arguments:
Arg1: 0000000000000003, A LIST_ENTRY has been corrupted (i.e. double remove).
Arg2: ffffd0003a20d5d0, Address of the trap frame for the exception that caused the bugcheck
Arg3: ffffd0003a20d528, Address of the exception record for the exception that caused the bugcheck
Arg4: 0000000000000000, Reserved
Debugging Details:
——————
Счетчик показывает сколько раз система упала с аналогичной ошибкой:
Основная категория текущего сбоя:
Код STOP-ошибки в сокращенном формате:
Процесс, во время исполнения которого произошел сбой (не обязательно причина ошибки, просто в момент сбоя в памяти выполнялся этот процесс):
Расшифровка кода ошибки: В этом приложении система обнаружила переполнение буфера стека, что может позволить злоумышленнику получить контроль над этим приложением.
ERROR_CODE: (NTSTATUS) 0xc0000409 — The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.
EXCEPTION_CODE: (NTSTATUS) 0xc0000409 — The system detected an overrun of a stack-based buffer in this application. This overrun could potentially allow a malicious user to gain control of this application.
Последний вызов в стеке:
LAST_CONTROL_TRANSFER: from fffff8040117d6a9 to fffff8040116b0a0
Стек вызовов в момент сбоя:
STACK_TEXT:
ffffd000`3a20d2a8 fffff804`0117d6a9 : 00000000`00000139 00000000`00000003 ffffd000`3a20d5d0 ffffd000`3a20d528 : nt!KeBugCheckEx
ffffd000`3a20d2b0 fffff804`0117da50 : ffffe000`f3ab9080 ffffe000`fc37e001 ffffd000`3a20d5d0 fffff804`0116e2a2 : nt!KiBugCheckDispatch+0x69
ffffd000`3a20d3f0 fffff804`0117c150 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiFastFailDispatch+0xd0
ffffd000`3a20d5d0 fffff804`01199482 : ffffc000`701ba270 ffffc000`00000001 000000ea`73f68040 fffff804`000006f9 : nt!KiRaiseSecurityCheckFailure+0x3d0
ffffd000`3a20d760 fffff804`014a455d : 00000000`00000001 ffffd000`3a20d941 ffffe000`fcacb000 ffffd000`3a20d951 : nt! ?? ::FNODOBFM::`string’+0x17252
ffffd000`3a20d8c0 fffff804`013a34ac : 00000000`00000004 00000000`00000000 ffffd000`3a20d9d8 ffffe001`0a34c600 : nt!IopSynchronousServiceTail+0x379
ffffd000`3a20d990 fffff804`0117d313 : ffffffff`fffffffe 00000000`00000000 00000000`00000000 000000eb`a0cf1380 : nt!NtWriteFile+0x694
ffffd000`3a20da90 00007ffb`475307da : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
000000ee`f25ed2b8 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x00007ffb`475307da
Участок кода, где возникла ошибка:
FOLLOWUP_IP:
nt!KiFastFailDispatch+d0
fffff804`0117da50 c644242000 mov byte ptr [rsp+20h],0
FAULT_INSTR_CODE: 202444c6
SYMBOL_STACK_INDEX: 2
SYMBOL_NAME: nt!KiFastFailDispatch+d0
FOLLOWUP_NAME: MachineOwner
Имя модуля в таблице объектов ядра. Если анализатору удалось обнаружить проблемный драйвер, имя отображается в полях MODULE_NAME и IMAGE_NAME:
MODULE_NAME: nt
IMAGE_NAME: ntkrnlmp.exe
Если кликнете по ссылке модуля (nt), то увидите подробную информацию о пути и других свойствах модуля. Находите указанный файл, и изучаете его свойства.
1: kd> lmvm nt
Browse full module list
Loaded symbol image file: ntkrnlmp.exe
Mapped memory image file: C:ProgramDatadbgsymntoskrnl.exe5A9A2147787000ntoskrnl.exe
Image path: ntkrnlmp.exe
Image name: ntkrnlmp.exe
InternalName: ntkrnlmp.exe
OriginalFilename: ntkrnlmp.exe
ProductVersion: 6.3.9600.18946
FileVersion: 6.3.9600.18946 (winblue_ltsb_escrow.180302-1800)
В приведенном примере анализ указал на файл ядра ntkrnlmp.exe. Когда анализ дампа памяти указывает на системный драйвер (например, win32k.sys) или файл ядра (как в нашем примере ntkrnlmp.exe), вероятнее всего данный файл не является причиной проблемы. Очень часто оказывается, что проблема кроется в драйвере устройства, настройках BIOS или в неисправности оборудования.
Если вы увидели, что BSOD возник из-за стороннего драйвера, его имя будет указано в значениях MODULE_NAME и IMAGE_NAME.
Image path: SystemRootsystem32driverscmudaxp.sys
Image name: cmudaxp.sys
Откройте свойсва файла драйвера и проверьте его версию. В большинстве случаев проблема с драйверами решается их обнвовлением.
Каждый раз при сбое Windows создается файл дампа. Этот файл может помочь вам выяснить, что вызвало сбой Windows. По умолчанию Windows настроена на создание файла дампа. Даже если вы никогда не настраивали его для создания файла дампа, он все равно это делает. Windows может создавать файлы дампа памяти различных типов. Это небольшой дамп памяти, дамп памяти ядра, полный дамп памяти, автоматический дамп памяти и активный дамп памяти. Файл дампа памяти, который Windows создает по умолчанию, является файлом автоматического дампа памяти, но вы можете настроить его для создания другого типа файла дампа.
Вам потребуются права администратора, чтобы изменить тип файла дампа памяти, создаваемого Windows 10.
Изменить тип файла дампа памяти
Откройте панель управления. Перейдите в Система и безопасность> Система и щелкните Дополнительные параметры системы в левом столбце. В открывшемся окне «Свойства системы» перейдите на вкладку «Дополнительно».
В разделе «Запуск и восстановление» нажмите кнопку «Настройки».
В окне «Запуск и восстановление» откройте раскрывающийся список в разделе «Запись отладочной информации». Значение в этом раскрывающемся списке по умолчанию установлено на Автоматический дамп памяти.
В этом раскрывающемся списке выберите тип файла дампа памяти, который Windows будет создавать при сбое системы. Щелкните «ОК».
Если ваша система немного дает сбой, и каждый раз это происходит по другой причине, вы можете снять флажок «Перезаписать любой существующий файл». Это создаст файлы инкрементного дампа, так что у вас будет файл дампа памяти для каждого сбоя.
Типы файлов дампа памяти
Вам, вероятно, интересно, какой тип файла дампа памяти вам следует создать. Различные типы файлов содержат разные типы информации. Некоторые файлы содержат более подробную информацию, в то время как другие предоставляют основную информацию о сбое.
Малый дамп памяти (256 КБ)
Этот тип файла содержит наименьшее количество информации. Он покажет вам, что говорится в сообщении об ошибке в BSOD, даст вам обзор драйверов и процессов, которые были активны во время сбоя, и расскажет, какой процесс или поток ядра разбился. Это дамп ядра, но с наименьшим количеством информации согласно Microsoft.
Дамп памяти ядра
По данным Microsoft, дамп памяти ядра является наиболее полезным и подробным по отношению к ядру. Он будет содержать информацию о драйверах и программах в режиме ядра.
Полный дамп памяти
В полный дамп памяти файл значительно велик. Вам нужно пространство, равное ОЗУ в вашей системе, плюс 1 МБ для Windows, чтобы иметь возможность создать этот файл. Он включает выделение физической памяти, которая обычно не учитывается в других дампах ядра. Этот дамп имеет то, что вы бы назвали полным дампом памяти.
Автоматический дамп памяти
Это более или менее похоже на дамп памяти ядра с точки зрения информации. В автоматический дамп памяти файл отличается только тем, сколько места он использует для создания файла дампа. Этот тип файла не существовал в Windows 7. Он был добавлен в Windows 8.
Дамп активной памяти
В активный дамп памяти file отфильтровывает элементы, которые не помогают выявить причину сбоя. Это было добавлено в Windows 10 и особенно полезно, если вы запускаете виртуальные машины или если ваша система является хостом Hyper V.
Что вы думаете об этой статье?