Report wer что это
Устранение неполадок отказоустойчивого кластера с помощью отчетов об ошибках Windows
применимо к: Windows server 2022, Windows server 2019, Windows Server 2016, Windows server, Azure Stack хЦи, versions 21H2 и 20H2
отчеты об ошибках Windows (WER) — это гибкая инфраструктура обратной связи на основе событий, призванная помочь опытным администраторам или уровням 3 собирать сведения о проблемах с оборудованием и программным обеспечением, которые Windows могут обнаруживать, передавать сведения в корпорацию майкрософт и предоставлять пользователям доступные решения. Эта ссылка содержит описания и синтаксис для всех командлетов виндовсерроррепортинг.
Сведения об устранении неполадок, приведенных ниже, могут быть полезны при устранении сложных проблем, которые были переданы в корпорацию Майкрософт для рассмотрения.
Включение каналов событий
при установке Windows Server многие каналы событий включаются по умолчанию. Но иногда при диагностике проблемы мы хотим включить некоторые из этих каналов событий, так как они помогут в рассмотрении и диагностике проблем с системой.
При необходимости можно включить дополнительные каналы событий на каждом узле сервера в кластере. Однако этот подход представляет две проблемы:
Чтобы избежать этих проблем, можно включить каналы событий при запуске кластера. Список включенных каналов событий в кластере можно настроить с помощью общедоступного свойства енабледевентлогс. По умолчанию включены следующие каналы событий:
Ниже приведен пример выходных данных.
Если вы хотите, чтобы оба уровня журнала и ключевое слово-Mask были включены в значения по умолчанию, можно выполнить любую из следующих команд:
Идет сбор журналов
После включения каналов событий можно использовать думплогкуери для сбора журналов. Свойство типа общедоступного ресурса думплогкуери является значением мутистринг. Каждая строка является запросом XPath, как описано здесь.
Для этого сначала протестируйте запрос XPATH с помощью командлета PowerShell Get-WinEvent :
Затем добавьте запрос к свойству думплогкуери ресурса:
Если вы хотите получить список запросов для использования, выполните:
сбор отчетов отчеты об ошибках Windows
отчеты об ошибках Windows отчеты хранятся в %програмдата%\микрософт\ Windows \вер
В папке WER папка репортскуеуе содержит отчеты, которые ожидают передачи в Watson.
Ниже приведен пример выходных данных.
В папке WER папка репортсарчиве содержит отчеты, которые уже были отправлены в Watson. Данные в этих отчетах удаляются, но файл Report. wer сохраняется.
Ниже приведен пример выходных данных.
отчеты об ошибках Windows предоставляет множество параметров для настройки отчетов о проблемах. дополнительные сведения см. в документациипо отчеты об ошибках Windows.
устранение неполадок с помощью отчетов отчеты об ошибках Windows
Не удалось подключить физический диск к сети
Чтобы диагностировать эту проблему, перейдите в папку отчетов WER:
Ниже приведен пример выходных данных.
так как ресурс не удалось перевести в режим «в сети», дампы не были собраны, но отчеты об ошибках Windows отчет собирает журналы. Если открыть все файлы . evtx с помощью анализатора сообщений Майкрософт, вы увидите всю информацию, собранную с помощью следующих запросов, по системному каналу, каналу приложений, каналам диагностики отказоустойчивого кластера и другим универсальным каналам.
Ниже приведен пример выходных данных.
Анализатор сообщений позволяет записывать, отображать и анализировать трафик протокола обмена сообщениями. он также позволяет отслеживать и оценивать системные события и другие сообщения от Windows компонентов. Вы можете скачать анализатор сообщений Майкрософт отсюда. При загрузке журналов в анализаторе сообщений вы увидите следующие поставщики и сообщения из каналов журнала.
Вы также можете группировать по поставщикам, чтобы получить следующее представление:
Чтобы выяснить причину сбоя диска, перейдите к событиям в разделе фаиловерклустеринг/Diagnostic and фаиловерклустеринг/диагностиквербосе. Затем выполните следующий запрос: EventLog. EVENTDATA [«логстринг»] содержит «диск кластера 10». В результате вы получите следующие выходные данные:
Время ожидания физического диска истекло
Чтобы диагностировать эту проблему, перейдите в папку отчетов WER. Папка содержит файлы журналов и файлы дампа для RHS, clussvc.exeи процесса, в котором размещается служба «смфост«, как показано ниже:
Ниже приведен пример выходных данных.
список служб и процессов, собранных в дампе, управляется следующим свойством: PS C:\ Windows выполнять (Get-клустерресаурцетипе-Name «физический диск»). Думпсервицессмфост
Мы можем выполнить перекрестное исследование с помощью потока из файла Memory. hdmp :
Служба Windows Error Reporting и очистка каталога WER\ReportQueue в Windows
Служба WER (Windows Error Reporting) служит для сбора и отправки отладочной информации о падении системных и сторонних приложений в Windows на сервера Microsoft. По задумке Microsoft, эта информация должна анализироваться и при наличии решения, вариант исправления проблемы должен отправляется пользователю через Windows Error Reporting Response. Но по факту мало кто пользуется этим функционалом, хотя Microsoft настойчиво оставляет службу сбора ошибок WER включенной по умолчанию во всех последних версиях Windows. В большинстве случае о службе WER вспоминают, когда каталог C:\ProgramData\Microsoft\Windows\WER\ReportQueue\ начинает занимать на системном диске довольно много места (вплоть до нескольких десятков Гб).
Служба Windows Error Reporting
Служба Windows Error Reporting представляет собой отдельный сервис Windows, который можно легко отключить командой:
Внутри каталога WER\ReportQueue\ содержится множество каталогов, с именами в формате:
Как вы видите, имя каталога содержит степень критичности события и имя конкретного exe файла, который завершился аварийно. Во всех каталогах обязательно имеется файл Report.wer, который содержит описание ошибок и несколько файлов с дополнительной информацией.
Очистка папки WER\ReportQueue в Windows
Как правило, размер каждой папки незначителен, но в некоторых случаях для проблемного процесса генерируется дамп памяти, который занимает довольно много места. На скриншоте ниже видно, что размер файла дампа memory.hdmp составляет около 610 Мб. Парочка таким дампов – и на диске исчезло несколько свободных гигибайт.
Для быстрого освобождения места на диске от файлов отладки, сгенерированных службой WER, содержимое следующих каталогов можно безболезненно удалить и руками.
Отключение Window Error Reporting в Windows Server 2012 R2 / 2008 R2
Отключить запись информации об ошибках Windows Error Reporting в серверных редакция Windows можно следующим образом:
Отключение функции сбора и отправки отчетов в Windows 10
Отключить Windows Error Reporting в Windows 10 можно через реестр. Для этого в ветке HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting нужно создать новый параметр типа DWORD (32 бита) с именем Disabled и значением 1.
Теперь еще раз проверим статус параметра Поиск решения для указанных в отчетах проблем в панели управления. Его статус должен изменится на Отключено.
Отключение Windows Error Reporting через групповые политики
В результате сообщения об ошибках приложений в Windows перестанут формироваться и автоматически отправляться в Microsoft.
Служба Windows Error Reporting и очистка каталога WER\ReportQueue в Windows
Служба WER (Windows Error Reporting) служит для сбора и отправки отладочной информации о падении системных и сторонних приложений в Windows на сервера Microsoft. По задумке Microsoft, эта информация должна анализироваться и при наличии решения, вариант исправления проблемы должен отправляется пользователю через Windows Error Reporting Response. Но по факту мало кто пользуется этим функционалом, хотя Microsoft настойчиво оставляет службу сбора ошибок WER включенной по умолчанию во всех последних версиях Windows. В большинстве случае о службе WER вспоминают, когда каталог C:\ProgramData\Microsoft\Windows\WER\Rep ortQueue\
или
c:\Users\All Users\Microsoft\Windows\WER\ReportQueue\
начинает занимать на системном диске довольно много места (вплоть до нескольких десятков Гб), даже не смотря на то что на этом каталоге по умолчанию включена NTFS компрессия.
Служба Windows Error Reporting
Служба Windows Error Reporting представляет собой отдельный сервис Windows, который можно легко отключить командой:
net stop WerSvc
Внутри каталога WER\ReportQueue\ содержится множество каталогов, с именами в формате:
Как вы видите, имя каталога содержит степень критичности события и имя конкретного exe файла, который завершился аварийно. Во всех каталогах обязательно имеется файл Report.wer, который содержит описание ошибок и несколько файлов с дополнительной информацией.
Очистка папки WER\ReportQueue в Windows
Как правило, размер каждой папки незначителен, но в некоторых случаях для проблемного процесса генерируется дамп памяти, который занимает довольно много места. На скриншоте ниже видно, что размер файла дампа memory.hdmp составляет около 610 Мб. Парочка таким дампов – и на диске исчезло несколько свободных гигибайт.
Для быстрого освобождения места на диске от файлов отладки, сгенерированных службой WER, содержимое следующих каталогов можно безболезненно удалить и руками.
Отключение Window Error Reporting в Windows Server 2012 R2 / 2008 R2
Отключить запись информации об ошибках Windows Error Reporting в серверных редакция Windows можно следующим образом:
Windows Server 2008 R2 – откройте консоль Server Manager и промотайте список, перейдя в раздел Resources and Support. Нажмите на Turn Off Windows Error Reporting и выберите пункт I don’t want to participate, and don’t ask me again.
Отключение функции сбора и отправки отчетов в Windows 10
Отключить Windows Error Reporting в Windows 10 можно через реестр. Для этого в ветке HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting нужно создать новый параметр типа DWORD (32 бита) с именем Disabled и значением 1.
Теперь еще раз проверим статус параметра Поиск решения для указанных в отчетах проблем в панели управления. Его статус должен изменится на Отключено.
Отключение Windows Error Reporting через групповые политики
В результате сообщения об ошибках приложений в Windows перестанут формироваться и автоматически отправляться в Microsoft.
Использование WER
начиная с Windows Vista Windows предоставляет отчеты о сбоях, неответе и сбоях ядра по умолчанию, не требуя внесения изменений в приложение. При необходимости отчет будет содержать сведения дампа минидампа и кучи. Вместо этого приложения используют API WER для отправки отчетов о проблемах, связанных с приложениями, в корпорацию Майкрософт.
поскольку Windows автоматически сообщает о необработанных исключениях, приложение не должно обрабатывать неустранимые исключения. Если процесс сбоя или неотвечающего процесса является интерактивным, WER отображает пользовательский интерфейс, уведомляющий пользователя о проблеме. приложение считается неотвечающим, если оно не реагирует на Windows сообщения в течение пяти секунд, пока пользователь пытается взаимодействовать с приложением.
поток отчеты об ошибках Windows для сбоев, нереагирования и сбоев ядра
Ниже показаны действия, выполняемые для сбоев приложения, нереагирования или сбоя ядра.
Приложения могут использовать следующие функции для настройки содержимого отчета, отправляемого в корпорацию Майкрософт. Функции регистрации сообщают о том, что в отчете об ошибках, создаваемых, включаются определенные файлы и блоки памяти.
поток отчеты об ошибках Windows для отчетов об универсальных событиях
Следующие шаги показывают, как приложения могут получить отчет об ошибке для некритической ошибки.
исключение приложения из отчеты об ошибках Windows
Автоматическое восстановление данных и перезапуск сбойного приложения
Приложение может использовать восстановление и перезагрузку приложения, чтобы сохранить данные и сведения о состоянии до завершения работы приложения из-за необработанного исключения или зависания приложения. При запросе приложение также перезапускается. Дополнительные сведения см. в разделе Восстановление приложений и перезапуск.
Устаревший API
Если включен отчет об ошибках, система отображает диалоговое окно, указывающее, что приложение столкнулось с проблемой и будет закрыто. при наличии отладчика, настроенного в разделе » _ _ \ программное обеспечение локального компьютера HKEY \ Microsoft \ Windows NT \ CurrentVersion \ аедебуг «, пользователю предоставляется возможность запустить отладчик. Пользователю также предоставляется возможность отправить отчет в корпорацию Майкрософт. Если пользователь отправляет отчет, система отображает еще одно диалоговое окно, которое составило пользователя для отчета и предоставляет ссылку на дополнительные сведения.
Система отчетов об ошибках поддерживает следующие режимы работы.
| Режим работы | Описание |
|---|---|
| Отчеты о общей памяти | Если контекст безопасности приложения совпадает с контекстом безопасности вошедшего в систему пользователя, система отчетов об ошибках использует блок общей памяти для обмена данными. Этот режим нельзя использовать с режимом создания отчетов манифеста. |
| Отчеты о манифестах | Если контекст безопасности приложения не совпадает с контекстом безопасности вошедшего в систему пользователя, система отчетов об ошибках использует файл для обмена данными. Этот режим также используется для создания отчетов о неотвечающих приложениях и сбоях ядра. Этот режим нельзя использовать с режимом создания отчетов общей памяти. |
| Отчеты в Интернете | Система отчетов об ошибках отправляет все данные в корпорацию Майкрософт через Интернет. Это режим работы по умолчанию. Его нельзя использовать с корпоративным режимом отчетов. Этот режим используется, если администратор не указал путь передачи Организации. |
| Корпоративные отчеты | Система отчетов об ошибках отправляет все данные в общую папку, а не передает их непосредственно в корпорацию Майкрософт. Это позволяет корпоративным ИТ-менеджерам проверять данные перед их отправкой в корпорацию Майкрософт. Этот режим используется при наличии корпоративного пути передачи, указанного администратором. Его нельзя использовать с режимом создания отчетов в Интернете. |
| Отчеты без монитора | Система отчетов об ошибках не отображает никаких диалоговых окон для пользователя. Это позволяет корпоративным ИТ Manager получать отчеты об ошибках от своих сотрудников в любое время. Этот режим используется, когда администратор включает отчеты, но уведомление отключено. Его можно использовать только в корпоративном режиме отчетов. |
Система Windows Error Reporting
Система отчета об ошибках Windows Error Reporting (WER) является сложным механизмом, автоматизирующим представление сбоев процессов пользовательского режима и режима системных сбоев.
Когда фильтр необработанных исключений, упомянутый в предыдущем разделе, отлавливает такое исключение, он создает контекстную информацию (например, текущее значение регистров и стека) и открывает подключение ALPC-порта к WER-службе. Эта служба приступает к анализу состояния аварийной программы и выполняет соответствующие действия по уведомлению пользователя. Во многих случаях это означает запуск программы WerFault.exe, которая выполняется с полномочиями текущего пользователя, и пока система не настроена на обратное, выводит окно сообщения, информирующее пользователя об аварии. На системах с установленным отладчиком показаны дополнительные возможности по отладке показанного процесса, что можно увидеть на рисунке.
При щелчке на пункте отладки (Debug) будет запущен отладчик (зарегистрированный в строке Debugger, рассмотренном ранее параметре AeDebug), чтобы подключиться к аварийному процессу.
Диалоговое окно Windows Error Reporting.
На системах с исходными настройками отчет об ошибке (мини-дамп и XML-файл с различными подробностями, например, с номерами версий DLL-библиотек, загруженных в процессе) отправляется на интернет-сервер Microsoft, занимающийся анализом аварийных ситуаций. Затем, когда служба уведомляется о решении для проблемы, она выводит подсказку, информирующую пользователя о его действиях, которые нужно выполнить для решения проблемы.
Входящее сообщение будет также отображено в Центре поддержки. Кроме того, в Мониторе стабильности системы (ReliabilityMonitor) будут также показаны все экземпляры аварий приложений и системы.
ПРИМЕЧАНИЕ. WER будет активно (визуально) информировать пользователя аварийного приложения только в том случае, когда приложение имеет как минимум одно видимое интерактивное окно. В противном случае авария будет занесена в журнал, но пользователю придется вручную зайти в Центр поддержки для просмотра соответствующей записи. Такое поведение призвано избавить пользователя от путаницы, не выводя диалогового окна WER, относящегося к невидимым аварийным процессам, о которых пользователь может не знать, например, о службе, выполняемой в фоновом режиме.
В окружениях, где системы не подключены к Интернету или где администратор хочет контролировать, какие именно отчеты об ошибках будут представлены Microsoft, место назначения отчета об ошибках может быть настроено на внутренний файловый сервер. Средство MicrosoftSystemCenterDesktopErrorMonitoringпонимает структуру каталогов, созданных WindowsErrorReporting, и предоставляет администратору возможность получить избирательные отчеты об ошибках и отправить их компании Microsoft.
Чтобы избежать подобных проблем, если сбой произошел в самом фильтре необработанных исключений, имеющийся в Windows механизм WER выполняет эту работу вне аварийного потока, что позволяет зарегистрировать любую аварию процесса или потока и уведомить о ней пользователя.
WER содержит множество настраиваемых параметров, к которым пользователь может получить доступ через редактор групповой политики (Group Policy) или внося изменения в реестр вручную. В таблице представлен список вариантов настройки WER в реестре, показано их использование и возможные значения.
Эти значения находятся в подразделе HKLM\SOFTWARE\Microsoft\Windows\ Windows Error Reporting для настроек компьютера и в аналогичном пути в разделе HKEY_CURRENT_USER для настройки для каждого пользователя.
Настройки WER в реестре.
| Настройка | Смысл | Значение |
|---|---|---|
| ConfigureArchive | Содержание архивных данных | 1 — для параметров, 2 — для всех данных |
| Consent\DefaultConsent | Какие данные должны требовать согласия | 1— для любых данных, 2 — только для параметров, 3 — для параметров и безопасных данных, 4 — для всех данных. |
| Consent\DefaultOverrideBehavior | Должен ли DefaultConsent замещать значения согласия дополнительного модуля WER | 1 — для разрешения замещения |
| Consent\PluginName | Значение согласия для конкретного дополнительного модуля WER | То же самое, что и для DefaultConsent |
| CorporateWERDirectory | Каталог для общего хранилища WER | Строка, содержащая путь |
| CorporateWERPortNumber | Порт, используемый для общего хранилища WER | Номер порта |
| CorporateWERServer | Имя, используемое для общего хранилища WER | Строка, содержащая имя |
| CorporateWERUseAuthentication | Использование для общего хранилища WER встроенной аутентификации Windows (Windows Integrated Authentication) | 1— для разрешения встроенной аутентификации |
| CorporateWERUseSSL | Использование для общего хранилища WER протокола защищенных сокетов (SSL) | 1 — для разрешения SSL |
| DebugApplications | Список приложений, требующих от пользователя выбора между отладкой (Debug) и продолжением (Continue) | 1— для предоставления пользователю возможности выбора |
| DisableArchive | Включен ли архив | 1 — для выключения архива |
| Disabled | Выключена ли служба WER | 1 — для выключения WER |
| DisableQueue | Определение необходимости постановки отчетов в очередь | 1 — для выключения очереди |
| DontShowUI | Выключение или включение WER UI | 1 — для выключения UI |
| DontSendAdditionalData | Предотвращение отправки дополнительных данных об аварии | 1 — не отправлять |
| ExcludedApplications\AppName | Список приложений, исключенных из WER | Строка, содержащая список приложений |
| ForceQueue | Нужно ли отчеты отправлять в очередь пользователя | 1 — для отправки отчетов в очередь |
| LocalDumps\DumpFolder | Путь, который нужно использовать для хранения дапм-файлов | Строка, содержащая путь |
| LocalDumps\DumpCount | Максимальное количество дапм-файлов в пути | Счетчик |
| LocalDumps\DumpType | Тип дампа, генерируемого при аварии | 0 — для специального дампа, 1 — для мини-дампа, 2 — для полного дампа |
| LocalDumps\CustomDumpFlags | Для специальных дампов, указывает их специализацию | Значения, определенные в MINIDUMP_TYPE |
| LoggingDisabled | Включение или выключение ведения журнала | 1 — для выключения ведения журнала |
| MaxArchiveCount | Максимальный размер архива (в файлах) | Значение в диапазоне 1–5000 |
| MaxQueueCount | Максимальный размер очереди | Значение в диапазоне 1–500 |
| QueuePesterInterval | Дни между запросами, чтобы пользователь мог проверить решения | Количество дней |
ПРИМЕЧАНИЕ. Значения, перечисленные в параметре LocalDumps, могут также быть настроены для каждого приложения путем добавления имени приложения в пути подраздела между LocalDumps и соответствующим значением. Но они не могут быть настроены для каждого пользователя, поскольку существуют только в пути HKLM.
Как уже говорилось, для связи с аварийными процессами служба WER использует ALPC-порт. Этот механизм использует общесистемный порт ошибки, который служба WER регистрирует через функцию NtSetInformationProcess (использующую DbgkRegisterErrorPort). В результате все процессы Windows теперь имеют порт ошибки, который на самом деле является объектом ALPC-порта, зарегистрированным службой WER. Ядро, которое уведомляется об исключении в первую очередь, использует этот порт для отправки сообщения службе WER, которая затем анализирует аварийный процесс.