我熟悉 Windows 中的低级问题(例如硬盘故障或物理错误),这些问题会导致 Windows 中出现低级锁定/冻结,这种锁定/冻结要么永远持续下去,要么直到错误情况清除。我不习惯的是,在发生如此重大的错误后,除了事件查看器之外,还要弄清楚在 Windows 诊断工具中查找任何错误的位置。
在这种情况下,事件查看器中最有用的部分通常是自定义视图 > 管理事件过滤视图,它收集了大量重要信息。该过滤器显示今天没有数据,其最后一个事件是前一天晚上。系统在 10 分钟内完全不响应任何键盘或鼠标输入后才恢复。10 分钟后,Windows 恢复了,我至少可以打开任务管理器了。
在那 10 分钟的“挂起”时间内,当我拖动鼠标时,鼠标光标会移动,但似乎没有其他事情发生。它似乎没有在事件查看器中我检查过的 10 或 20 个地方留下任何痕迹(Windows 日志中的每个部分,以及服务日志中顶级应用程序中的所有内容)。
我猜我应该启用一些当前已禁用的事件查看器日志。如果是这样,请启用哪些日志。如果我应该去事件查看器以外的地方,哪个地方比较好检查?
如果这是 Linux,我会查看dmesg内核journalctl和系统日志,但事件查看器是最接近 Windows 实际拥有的“系统日志”的东西。
更新:我尝试使用捕获 ETL 跟踪信息,wpr.exe但写入磁盘时出错,导致失败。它说磁盘已满,但不可能,它有 >100 GB 的可用空间,而 wpr 跟踪只运行了 5 分钟,所以我很难相信它想要记录 100+ GB 的 .etl 文件。此外,使用 CrystalDiskInfo 和 WD 实用程序,我检查了硬盘 SMART 状态,两种工具均未报告磁盘问题。系统范围挂起的合理解释是写入页面文件时出现磁盘 IO 问题。但事件查看器中应该有错误。无法执行 wpr.exe -stop 很奇怪:
wpr.exe -stop C:\hang.etl
There is not enough space on the disk.
Profile Id: RunningProfile
Error code: 0x80070070 There is not enough space on the disk.