我有一个系统(Windows 10,版本 20H2,操作系统内部版本 19042.1052),它会定期锁定几分钟。它不会崩溃/蓝屏,但应用程序事件日志中会记录实时内核转储:
Windows 错误报告事件 ID 1001:
Fault bucket , type 0
Event Name: LiveKernelEvent
Response: Not available
Cab Id: 0
Problem signature:
P1: 1a1
P2: ffffe08a2d98c540
P3: 0
P4: 0
P5: 0
P6: 10_0_19042
P7: 0_0
P8: 256_1
P9:
P10:
Attached files:
\\?\C:\WINDOWS\LiveKernelReports\PoW32kWatchdog\PoW32kWatchdog-20210615-0615.dmp
\\?\C:\WINDOWS\TEMP\WER-417554453-0.sysdata.xml
\\?\C:\WINDOWS\LiveKernelReports\PoW32kWatchdog-20210615-0615.dmp
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER76C9.tmp.WERInternalMetadata.xml
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER76DA.tmp.xml
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER76E8.tmp.csv
\\?\C:\ProgramData\Microsoft\Windows\WER\Temp\WER7709.tmp.txt
These files may be available here:
\\?\C:\ProgramData\Microsoft\Windows\WER\ReportQueue\Kernel_1a1_b56071bcde394c864256bb672ce88048e33283f_00000000_cab_23199732-b72b-44e5-b26f-f179c6892d31
Analysis symbol:
Rechecking for solution: 0
Report Id: 23199732-b72b-44e5-b26f-f179c6892d31
Report Status: 4
Hashed bucket:
Cab Guid: 0
我想在 WinDbg.exe 中查看 PoW32kWatchdog-20210615-0615.dmp 文件,以便查看错误线程的堆栈跟踪。但是,找不到 .dmp 文件:
C:\WINDOWS\LiveKernelReports\ -> 该文件已不存在,可能是因为 Windows 错误报告将其附加到了报告中 C:\ProgramData\Microsoft\Windows\WER\ReportQueue\Kernel_1a1_b56071bcde394c864256bb672ce88048e33283f_00000000_cab_23199732-b72b-44e5-b26f-f179c6892d31 -> 已不存在,可能是因为在我能够访问该报告之前该报告已发送给 Microsoft C:\ProgramData\Microsoft\Windows\WER\ReportArchive\Kernel_1a1_b56071bcde394c864256bb672ce88048e33283f_00000000_cab_23199732-b72b-44e5-b26f-f179c6892d31 -> 我在这里找到了一个report.wer文件,但它是一个几kb的名称值对文件,而不是我要找的.dmp文件。
如何防止 Windows 错误报告删除 .dmp 文件?或者是否有其他方法可以在 Windows 错误报告删除 .dmp 文件之前对其进行复制/备份?