默認情況下
Windows配置為當系統發生崩潰時嘗試自動抓取一個當前操作系統的狀態信息
接下來我們將討論系統故障
非應用程序失敗
Dump選項可以通過控制面板中的系統工具來進行設置
我們打開系統屬性—高級選項卡
找到啟動和故障恢復
點擊設置
我們就可以看到Dump文件的相關配置
當系統發生崩潰時
有
類Dump文件可以被捕獲
完全內存轉儲
當崩潰發生時
將捕獲整個物理內存的狀態
此類轉儲文件大小為內存中頁面文件大小+
MB的文件頭
Windows NT
只支持完全內存轉儲
當然這也是Windows Server Systems的默認設置
核心內存轉儲
當崩潰發生時
核心內存轉儲只捕獲物理內存中內核態的頁面文件讀/寫數據
這只是內核態的轉儲
並不包括用戶態進程的頁面
不過
由用戶態進程頁引起系統崩潰是不大可能的
通常都是由內核態引起
核心內存轉儲中包括
當前運行進程
線程和被加載的驅動等相關信息
核心內存轉儲文件大小=操作系統內核態內存占用大小+操作系統為驅動程序分配內存的大小
小內存轉儲
小內存轉儲(又叫Mini
dump)是一個
K的轉儲文件(
位系統和Windows
裡是
K
Vista
K)
它包括
終止代碼
參數和被加載的驅動列表
主要信息為崩潰時的當前進程
線程和內核堆
注意
有的情況下我們需要進行完全內存轉儲
手動進行完全內存轉儲為程序停止響應的排錯提供了最為豐富的信息
因為當程序Hang住時
我們需要查看用戶態進程
死鎖等等信息
不過
當你在選擇捕獲哪種Dump文件時
一定要考慮好捕獲出來的文件大小
如上所述
完全內存轉儲文件大小會是在物理內存大小的基礎上+
MB
(筆者
GB內存
再加
MB
恐怖啊……)
前面我們回顧了
種類型的Dump文件
實則在日常的工作中核心內存轉儲是我們系統崩潰和Bug檢查時最常用到的
請記住
核心內存轉儲文件大小僅基於內核態內存占用和驅動內存占用
(在有更多內存的系統上
Dump文件過大是正常的
)目前我們還無法精准的計算核心內存轉儲文件大小
你可以嘗試手動配置核心內存轉儲來查看頁面文件是否足夠大
對於設置最小的核心內存轉儲大小我們有一定的指導方針
但對於最大值目前還沒辦法
物理內存
最小頁面文件 (Kernel Dump)
< MB
MB
< GB
MB
< GB
MB
>= GB
MB
如果你擔心頁面文件設置過小
無法很好的捕獲核心轉儲
我們唯一的辦法就是通過KB
所描述的方式使用CrashOnCtrlScroll方法造成手動崩潰
系統重啟之後
我們可以手工查看Dump文件大小
另一種方法是在啟動分區上手動設置
GB+
MB的頁面文件大小(
位系統)
這是因為
位操作系統內核態最大地址空間就是
GB
除了配置正確的頁面文件大小之外
我們也需要確保有足夠的磁盤空間讓Dump文件能夠被正確的寫入
與頁面文件用來捕獲Dump不同
Dump文件可以被寫入其它的本地分區
在保存多個Dump文件時
請取消選擇
覆蓋任何現有文件
不過請記住
這會給剩余的磁盤空間造成很大的壓力
下面我們來看Dump文件是如何被產生的
當系統啟動時
會到注冊表HKLMSystemCurrentControlSetControlCrashControl 讀取崩潰轉儲選項
所有在圖形界面所做的操作都會修改如下注冊表值
將事件寫入系統日志=LogEvent
自動重新啟動= AutoReboot
寫入調試信息= CrashDumpEnabled
轉儲文件= DumpFile
覆蓋任何現有文件= Overwrite
如果你的系統超過
GB內存
在圖形界面中你將不會看到完全內存轉儲選項
其原因在KB
中進行了描述
但我們可以通過將HKLMSystemCurrentControlSetControlCrashControl下的CrashDumpEnabled值設置為
來強制啟用它(改這個值在圖形界面中完全內存轉儲仍不會顯示出來)
如果你需要完全內存轉儲來做更詳盡的排錯
也可以考慮使用Boot
ini中的MAXMEM開關將
位操作系統所使用的內存限制在
GB或更少(可以參考KB
)
此時系統就會將完全內存轉儲選項顯示來
現在回到Dump文件如何被產生這個話題
一旦轉儲功能被啟用
操作系統會自動寫一個以
Dump_
開頭的磁盤迷你端口驅動到啟動分區
並校驗與創建Dump文件相關的所有組件
包括
磁盤迷你端口驅動
寫入Dump文件的I/O管理函數和啟動分區的頁面文件
最終所得的校驗結果會被保存起來
每當系統啟動時KeBugCheck函數會重新進行校驗並與之前的結果相比對
如果校驗結果不匹配
將不會有Dump文件被寫入磁盤(因為有破壞磁盤數據的危險);如果檢驗結果匹配
Dump信息會被寫入已經被寫到磁盤啟動分區上的頁面文件當中
文件系統會被完全繞過
因為它也有可能是造成崩潰的原因之一
當SMSS
EXE在啟動過程中開啟內存分頁時
系統會仔細檢查啟動分區頁面文件當中的信息
如果有崩潰信息
這部分頁面文件就會被保護起來
如果啟動過程中的所有或部分啟動分區頁面文件不可用
系統會提示虛擬內存過低(暫時)
啟動進程執行完成之後WINLOGON
EXE會調用SAVEDUMP
EXE進程從頁面文件中抽出崩潰信息
並將Dump文件寫到磁盤上
在Windows Server
上
某些過程可能會有不同
請參考KB
當Server啟動之後
Windows會要求在啟動分區上創建一個和物理內存相同大小的臨時文件
如果磁盤空間不足
Dump還是會生成
不過會被系統縮減大小
在創建Dump操作過程的初期
會話管理子系統(SMSS
EXE)就會介入驗證內存Dump信息是否有效
如果Dump信息有效
SMSS
EXE會將Dump文件重命名為Dumpxxx
tmp
進而存儲Dumpxxx
tmp到啟動分區並設置HKLM/System/CurrentControlSet/Control/CrashControl/MachineCrash下的TempDestination和DumpFile值
SAVEDUMP
EXE便會讀取這
個值
並在判定文件的有效性之後將Dumpxxx
tmp保存成Memory
dmp
From:http://tw.wingwit.com/Article/Fault/201311/10391.html
