我在 Windows 2012 R2 Hyper-V 服务器的事件日志中发现了重复出现的错误。错误事件如下所示。
错误 16/12/2020 15:47:31 应用程序错误 1000 (100) 故障
应用程序名称:CMD.exe,版本:6.3.9600.17415,时间戳:0x545042b1 错误模块名称:KERNELBASE.dll,版本:6.3.9600.19678,时间戳:0x5e82c88a 异常代码:0xc0000142 故障偏移量:0x00000000000ecf40 错误进程 ID:0x3290 错误应用程序启动时间:0x01d6d3c2c2c9aa7d 错误应用程序路径:C:\Windows\System32\CMD.exe 错误模块路径:KERNELBASE.dll 报告 ID:0164a878-3fb6-11eb-8109-cd63031d6b26 错误包全名:错误包相关应用程序 ID:
它似乎发生在下午的某些时间,大约下午 3 点和 4 点。我检查了是否有任何计划任务在此时运行,但无法识别任何任务。我运行了 SFC 扫描以查看 kernelbase.dll 是否已损坏,但扫描结果没有问题。
有人遇到过这个问题吗?如果遇到过,您能建议如何解决它吗?
答案1
您可能首先想找出谁在实际执行 cmd.exe,但事件中未包含该命令。我会首先查看您的安全事件日志,看看您是否有4688 和 4689 事件然后,您可以查找与应用程序错误发生时间大致相同的 4688 事件(尽管 cmd.exe 在崩溃之前可能运行了一段时间)。
如果浏览安全事件日志太繁琐,那么您还可以安装免费试用版事件哨兵它可以规范流程活动安全事件并使其更易于搜索。
如果组策略是这样配置的,则 4688 事件可能还包含命令行参数(请参阅上面的 system32 链接),这应该有助于追踪导致该事件的原因。