カーネル・ダンプのバックアップ(No.4) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
カーネル・ダンプへ行く。
- 1 (2016-02-03 (水) 14:38:53)
- 2 (2016-02-03 (水) 15:16:58)
- 3 (2016-02-04 (木) 14:21:55)
- 4 (2017-01-12 (木) 16:33:36)
- 5 (2017-03-27 (月) 11:19:06)
- 6 (2018-01-16 (火) 16:31:31)
- 7 (2020-04-13 (月) 19:53:05)
- 8 (2020-04-14 (火) 12:26:29)

Open棟梁Project - マイクロソフト系技術情報 Wiki

戻る

目次 †

目次
概要
種類
準備
取得
- 注意点
- 取得方法
参照方法
STOPエラー
- STOPエラーとは
- STOPエラーのトラブルシュート

概要 †

ブルースクリーン（STOPエラー）時、以下のダンプが自動的に生成される。
- [システムのプロパティ]の[起動と回復]設定による。
このカーネルダンプは、どちらかと言えばクラッシュ・ダンプに分類される。

種類 †

最小メモリ・ダンプ †

ミニダンプと呼ばれる数十KBの小さいダンプ
例外の発生したコードやスタックの情報が書き込まれるが、メモリの情報は出力されない。
また、以下のダンプ（カーネルメモリダンプ、完全メモリダンプ）でもミニダンプは取得される。

カーネル・メモリ・ダンプ †

カーネルモードのメモリ情報
ブルースクリーン（STOPエラー）時は、カーネルの問題を見る場合が多いので、
殆どの場合は、カーネルメモリダンプで事足りる。
一般的に数十～数百MB程度の容量になる。

完全メモリ・ダンプ †

完全なメモリ情報
完全メモリダンプ以外では、ユーザ・プロセス情報が取得できない。
以下の条件を満たしていることが取得のための条件になる。

搭載メモリ2GB未満
%SystemDrive?%のPFの初期サイズが搭載メモリ＋11MB以上
ダンプ出力先のドライブに搭載メモリ以上の空き容量

準備 †

Windows でシステム障害と回復のオプションを構成する方法
https://support.microsoft.com/ja-jp/kb/307973

ドライブ容量不足時 †

boot.iniに/maxmem スイッチを設定して認識させる物理メモリ（搭載メモリ）を調整する方法もある。

メモリが2GBを超える場合 †

メモリが2Gを超えると部分的にしかメモリ・ダンプが取れなくなる。

メモリ量が2GBを超える場合、boot.iniに/maxmem スイッチを設定して認識させる物理メモリ（搭載メモリ）を調整する方法もある。

上記メモリ制限では困難な場合、以下の方法で強制的に取得可能（ただし、不完全なダンプになる）。
```
wmic recoveros set DebugInfoType = 1
```

種類の設定の保存場所 †

この設定は以下のレジストリに保存される。

キーまたはエントリ：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet?\Control\CrashControl?
値の名称：CrashDumpEnabled?
- 値：0x0 = なし
- 値：0x1 = の完全メモリダンプ
- 値：0x2 = のカーネルメモリダンプ
- 値：0x3 = の最小メモリダンプ (64 KB)

取得 †

物理メモリの情報が一度、ページングファイルに移動される（100カウント待つ）。
再起動時、savedump.exeによって、memory.dmpファイルを作成する。

注意点 †

物理メモリ上にない仮想アドレスの情報は記録されない事。
スワップ≒ハードページフォールトが発生しているような環境では
ユーザモードメモリやカーネルモードメモリ（ページプール）の
ダンプが上手く取れない可能性がある。

取得方法 †

STOPエラーを起こすことでカーネル・ダンプを取得可能。　

キーボード操作でメモリダンプファイルを作成できる Windows の機能
http://support.microsoft.com/kb/244139/ja

※ Ctrl キーを押しながら ScrollLock? キーを 2 回押すことにより、メモリダンプファイルを作成

Windows ベースのシステムでは、NMI を使用して
完全クラッシュダンプファイルまたはカーネルクラッシュダンプファイルを生成する方法
http://support.microsoft.com/kb/927069/ja

※ NMIスイッチとはOSを強制的にクラッシュさせるボタン

StartBlueScreen? - Initiate a Blue Screen of Death (BSOD) in Windows operating system
http://www.nirsoft.net/utils/start_blue_screen.html

NirSoftBlueScreenDriver?.sysという名の非常に小さなデバイス・ドライバをロードし、
コマンドライン中で指定するパラメータでウィンドウズ・カーネルのKeBugCheckEx? APIを呼ぶ。

StartBlueScreen?をコマンドから実行して完全メモリダンプを取得する。
> StartBlueScreen.exe 0x10 0x1111 0x2222 0x3333 0x4444

参照方法 †

以下は、メモリダンプファイルを参照する方法である。

Windows でデバッグ用に作成された最小メモリダンプファイルを読み取る方法
http://support.microsoft.com/kb/315263/ja
- Dumpchk.exe
- WinDbg.exe
- KD.exe

Dumpchk.exe
Dumpchk.exeについては以下を参照のこと（WinDbgに比べると初歩的な分析しかできない）。
- Dumpchk.exe を使用してメモリダンプファイルをチェックする方法
  http://support.microsoft.com/kb/315271/ja
  - メモリダンプファイルが正常に作成されたかどうかの検証に使用できるコマンドラインユーティリティ
  - メモリダンプファイル内でエラーが検出された場合は、Dumpchk により報告される。
- Dumpchk.exe を使用したメモリダンプファイルの確認
  http://technet.microsoft.com/ja-jp/library/ee424340.aspx
  - メモリダンプファイルが正常に作成されたかどうかの検証に使用できるコマンドラインユーティリティ
  - メモリダンプファイルにエラーが見つかった場合、Dumpchk により報告される。

BlueScreenView?
BlueScreenView?という、ミニ・ダンプの一覧ツールもあるが、WinDbgに比べると簡単な情報しか取得できない。
- Blue screen of death (STOP error) information in dump files.
  http://www.nirsoft.net/utils/blue_screen_view.html
- BlueScreenView? 日本語言語ファイル - QMP(仮)
  http://qmp.seesaa.net/article/125559181.html

STOPエラー †

STOPエラーとは †

バクチェック関数（KeBugCheckEx?）が呼び出され起きる。
OSがバクチェック関数を呼び出すのは最後の手段である。
STOPエラー発生時にカーネル・ダンプが生成される。

STOPエラーのトラブルシュート †

以下は、STOPエラーのエラーメッセージに対応したトラブルシュートの手順。

Windows 2000 Professional 導入ガイド
付録 B - ストップエラーのトラブルシューティング
http://technet.microsoft.com/ja-jp/library/dd299470.aspx

一般ストップエラーのトラブルシューティング
一般的なトラブルシュートの手順

特殊ストップエラーのトラブルシューティング
ストップエラー番号に対応するトラブルシュートの手順

ハードウェア障害メッセージのトラブルシューティング
ハードウェア障害メッセージが出力された際のトラブルシュートの手順

Tags: :障害対応, :デバッグ