カーネル・ダンプのバックアップ(No.8) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
カーネル・ダンプへ行く。
- 1 (2016-02-03 (水) 14:38:53)
- 2 (2016-02-03 (水) 15:16:58)
- 3 (2016-02-04 (木) 14:21:55)
- 4 (2017-01-12 (木) 16:33:36)
- 5 (2017-03-27 (月) 11:19:06)
- 6 (2018-01-16 (火) 16:31:31)
- 7 (2020-04-13 (月) 19:53:05)
- 8 (2020-04-14 (火) 12:26:29)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

概要 †

ブルースクリーン（STOPエラー）時、以下のダンプが自動的に生成される。
- [システムのプロパティ]の[起動と回復]設定による。
このカーネルダンプは、どちらかと言えばクラッシュ・ダンプに分類される。

詳細 †

種類 †

最小メモリ・ダンプ †

ミニダンプと呼ばれる数十KBの小さいダンプ
例外の発生したコードやスタックの情報が書き込まれるが、メモリの情報は出力されない。
また、以下のダンプ（カーネルメモリダンプ、完全メモリダンプ）でもミニダンプは取得される。

カーネル・メモリ・ダンプ †

カーネルモードのメモリ情報
ブルースクリーン（STOPエラー）時は、カーネルの問題を見る場合が多いので、
殆どの場合は、カーネルメモリダンプで事足りる。
一般的に数十～数百MB程度の容量になる。

完全メモリ・ダンプ †

完全なメモリ情報
完全メモリダンプ以外では、ユーザ・プロセス情報が取得できない。
以下の条件を満たしていることが取得のための条件になる。

搭載メモリ2GB未満
%SystemDrive?%のPFの初期サイズが搭載メモリ＋11MB以上
ダンプ出力先のドライブに搭載メモリ以上の空き容量

準備 †

Windows でシステム障害と回復のオプションを構成する方法
https://support.microsoft.com/ja-jp/kb/307973

ドライブ容量不足時 †

boot.iniに/maxmem スイッチを設定して認識させる物理メモリ（搭載メモリ）を調整する方法もある。

メモリが2GBを超える場合 †

メモリが2Gを超えると部分的にしかメモリ・ダンプが取れなくなる。

メモリ量が2GBを超える場合、boot.iniに/maxmem スイッチを設定して認識させる物理メモリ（搭載メモリ）を調整する方法もある。

上記メモリ制限では困難な場合、以下の方法で強制的に取得可能（ただし、不完全なダンプになる）。
```
wmic recoveros set DebugInfoType = 1
```

種類の設定の保存場所 †

この設定は以下のレジストリに保存される。

キーまたはエントリ：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet?\Control\CrashControl?
値の名称：CrashDumpEnabled?
- 値：0x0 = なし
- 値：0x1 = の完全メモリダンプ
- 値：0x2 = のカーネルメモリダンプ
- 値：0x3 = の最小メモリダンプ (64 KB)

取得 †

物理メモリの情報が一度、ページングファイルに移動される（100カウント待つ）。
再起動時、savedump.exeによって、memory.dmpファイルを作成する。

注意点 †

物理メモリ上にない仮想アドレスの情報は記録されない事。
スワップ≒ハードページフォールトが発生しているような環境では
ユーザモードメモリやカーネルモードメモリ（ページプール）の
ダンプが上手く取れない可能性がある。

クラッシュ・ダンプ的 †

STOPエラーが起きれば、カーネル・ダンプが取得される。　

意図的 †

STOPエラーを意図的に起こすことでカーネル・ダンプを取得可能。　

キーボード操作
「右」Ctrl キーを押しながら ScrollLock? キーを
2 回押すことにより、メモリダンプファイルを作成
※ レジストリ設定が必要、未ログイン状態でも可

参考
- キーボード操作でメモリダンプファイルを作成できる Windows の機能
  http://support.microsoft.com/kb/244139/ja
- 【Tip】Windows 10で強制的にブルースクリーンを発生させる方法 | ソフトアンテナブログ
  https://www.softantenna.com/wp/tips/windows-10-force-bsod/
- 手動での完全メモリダンプの取得方法（Windows 10 / 8.1 / 8 / 7）
  https://support.kaspersky.co.jp/common/diagnostics/3055

NMIスイッチ
OSを強制的にクラッシュさせるボタン

参考
- Windows ベースのシステムでは、NMI を使用して
  完全クラッシュダンプファイルまたはカーネルクラッシュダンプファイルを生成する方法
  http://support.microsoft.com/kb/927069/ja
- NMIスイッチでWindowsのシステム・ダンプを取得 - KMCA
  http://k-mca.com/column/2013_01/article_20130119_01.html

StartBlueScreen?
NirSoftBlueScreenDriver?.sysという名の非常に小さなデバイス・ドライバをロードし、
コマンドライン中で指定するパラメータでカーネルのKeBugCheckEx? APIを呼ぶ。

参考
- StartBlueScreen? - Initiate a Blue Screen of Death (BSOD) in Windows operating system
  http://www.nirsoft.net/utils/start_blue_screen.html
  StartBlueScreen?をコマンドから実行して完全メモリダンプを取得する。
```
StartBlueScreen.exe 0x10 0x1111 0x2222 0x3333 0x4444
```

参照方法 †

以下は、メモリダンプファイルを参照する方法である。

Windows でデバッグ用に作成された最小メモリダンプファイルを読み取る方法
http://support.microsoft.com/kb/315263/ja
- WinDbg.exe
- Dumpchk.exe
- KD.exe

WinDbg †

Dumpchk †

Dumpchk.exeについては以下を参照のこと
（WinDbgに比べると初歩的な分析しかできない）。

Dumpchk.exe を使用してメモリダンプファイルをチェックする方法
http://support.microsoft.com/kb/315271/ja
- メモリダンプファイルが正常に作成されたかどうかの検証に使用できるコマンドラインユーティリティ
- メモリダンプファイル内でエラーが検出された場合は、Dumpchk により報告される。

Dumpchk.exe を使用したメモリダンプファイルの確認
http://technet.microsoft.com/ja-jp/library/ee424340.aspx
- メモリダンプファイルが正常に作成されたかどうかの検証に使用できるコマンドラインユーティリティ
- メモリダンプファイルにエラーが見つかった場合、Dumpchk により報告される。

BlueScreenView? †

ミニ・ダンプの一覧ツール、
WinDbgに比べると簡単な情報しか取得できない。

Blue screen of death (STOP error) information in dump files.
http://www.nirsoft.net/utils/blue_screen_view.html

BlueScreenView? 日本語言語ファイル - QMP(仮)
http://qmp.seesaa.net/article/125559181.html

参考 †

STOPエラー †

Tags: :インフラストラクチャ, :Windows, :障害対応, :デバッグ