原文网址:https://www.youyong.top/article/1158f6dc112e6
windows 系统下,有时会遇到蓝屏(BSOD, Blue Sceen of Death)的错误,Windows 操作系统在遇到异常的情况下,为了防止数据丢失,系统自动崩溃蓝屏,如果有配置内存转储文件(crash dump)的收集,系统会自动生成蓝屏dump到指定的目录(默认文件为C:\Windows\memory.dmp)。
原文网址:https://www.youyong.top/article/1158f6dc112e6
可能原因
有多种原因导致操作系统蓝屏,例如:
- 因为误操作或者病毒引起的系统文件、注册表损坏
- 驱动程序与操作系统兼容性引起的异常内存访问
- 操作系统自身bug
- 三方杀毒软件驱动异常
操作系统在蓝屏的情况下,会抛出对应的bugcheck code以及可能的导致蓝屏的模块来大概说明问题发生的原因。如下图,
微软官方列举了如下bugcheck code,详细请参考如下链接:
Bug Check Code Reference
http://msdn.microsoft.com/en-us/library/windows/hardware/ff560129(v=vs.85).aspx
对于用户而言,更重要的是如何处理Windows 蓝屏,请参考如下最佳实践以及跟进方案。
最佳实践
根据与微软官方的建议以及日常排查经验,为了防止系统蓝屏的发生以及可能引起的数据丢失,我们建议:
- 请在ECS上启用安骑士防护或其它商业版杀毒防护工具,定期杀毒,定期更新杀毒软件版本,防止病毒或者杀毒软件驱动与操作系统兼容性引起的蓝屏。
- 请定期运行Windows Update,确保微软最新安全更新已经安装。
- 请不要将重要数据放在系统盘,而是使用数据盘。
- 定期对系统盘、数据盘进行快照,以便问题情况下恢复数据。
- 请在修改系统注册表前备份注册表文件,避免修改系统文件
跟进方案
如果 Windows 在使用过程中突然断开、无法远程,查看日志发现异常重启的情况,怀疑可能出现过系统蓝屏,请采用如下方法验证:
方法1:打开”事件查看器”,打开”系统日志”, 在问题发生时间点,如果看到有来源”volmgr”抛出的 ID 46事件,说明之前发生过蓝屏,但是由于没有配置 paging file 页面文件以及内存转储文件的配置,导致 dump 收集失败。
错误 2016/3/25 0:42:55 volmgr 46 无
故障转储初始化未成功
方法2:如果之前有正常配置过蓝屏收集,在系统日志中可以发现事件 ID 41的Kernel-Power的关键错误日志,提示系统从意外的关闭中回复以及事件ID 1001,来源为Bugcheck的日志提示系统出现崩溃。
由于蓝屏日志的分析非常耗时,可能耗费一周或更多的时间。考虑到业务快速恢复,我们强烈建议客户在遇到蓝屏的情况,重启机器后,参考如上的最佳实践。尤其是根据我们的经验,一般病毒、三方杀毒软件和系统bug是最可能的原因,您可以在问题发生后,采用如下3条来避免潜在的已知问题。
<1> 卸载系统所有三方杀毒软件, 禁用杀毒软件的防护功能一般不会消除杀毒软件内核驱动的影响
<2> 安全模式下,使用微软Msert离线杀毒工具或者三方收费版本杀毒软件杀毒
<3> 运行Windows Update,安装所有更新
