» 本文链接:http://www.hpiss.com/7488.html
» 订阅本站:http://www.hpiss.com/feed
» 转载请注明来源:HPISS » 《分析Windows Dump-一般软件问题》
[隐藏]

1.CASE环境:

 

机型: HP DL380p Gen8
Windbg版本: 6.3.9600
系统版本 Win 2008
故障现象 每隔十分钟左右服务器蓝屏

 

 

2.查看硬件日志

一般的流程是需要先看IML和ADU日志,校对survey中各个固件版本是否有issue,当所有硬件日志中反馈不出硬件问题时再分析Dump

但如果时间紧急,可以先看IML:

如下图,可以看到在IML中没有任何硬件报警,但可以看到很多蓝屏代码,在没有或者没有时间看ADU、survey的情况下,可以让用户将dump收集下来。

PS:如果没有记录蓝屏报错,但是有ASR,也可能出现了蓝屏,可以尝试收集Minidump日志,如果没有任何dump日志,请在BIOS中关闭ASR功能

 

3.查看Dump日志

打开WinDbg,如下图操作:

选择dump日志:

 

开始加载Symbol,如下图:

如下图:

 

如下图:


此信息可以看出打开的为Mini Dump,里面只包含如下信息:

  • 模块– module
  • 线程– thread
  • – stack
  • 栈上的指针引用的任何内存– any memory that is referenced by a pointer on a stack
  • 一些读写段– some read-write segments

 

完整Dump包含如下信息:

  • 完整内存数据– full memory data
  • 句柄数据– handle data
  • 未加载的模块信息– unloaded module information
  • 基本内存信息– basic memory information
  • 模块信息– module information
  • 包括时间信息在内的线程和栈信息– thread and stack information including thread time information

以上信息可以看出系统内核为Win7/2008(即使是Win 2008系统,在这里也会显示Win 7);

日志生成时间为:Fri Dec 20 17:14:55.620 2013 (UTC + 8:00)

系统正常运行时间:0 days 0:01:02.621

 

从以上信息可以看出蓝屏代码为”BugCheck 50, {ffffffffffffffd0, 1, fffff800018c40dd, 0}

可以看出,符合IML中的记录:


 

可以从以下链接查看这个报错的含义和每个参数中所代表的含义:

http://msdn.microsoft.com/en-us/library/windows/hardware/ff559023(v=vs.85).aspx

The PAGE_FAULT_IN_NONPAGED_AREA bug check has a value of 0x00000050. This indicates that invalid system memory has been referenced.

从以上描述可以大致看出,是某程序调用了无效的内存地址,导致蓝屏。

从此网页的描述可以看出其中

ffffffffffffffd0代表Memory address referenced;

“1”代表写入的操作(0: Read operation;1: Write operation);

fffff800018c40dd代表Address that referenced memory;

“0”,此为预留参数,暂无含义

另外可以看出微软官方并没有“FSDRIVER.SYS”Symbol,于是很可能是第三方软件的驱动级文件。

了解了报错含义后,直接点击下图红框部分,开始自动分析问题:


点击上图红框后,会出现以下信息(屏幕会自动滚动到最下放,请拖拉到上方)

这里也会告知报错含义:


往下看,找到STACK_TEXT处,可以看到服务器的蓝屏前的操作为”FSDriver“的操作,但是没有symbol,所以看不出”FSDriver“做了什么操作。

但结合错代码含义,大致推测是此文件在写入不存在的地址时导致蓝屏


 

点击红框:


可以看出这是Quest的一款软件所用的文件:


最后与用户沟通,用户告知为一个审计软件

让用户将其软件服务禁用,最后问题解决

让用户更新软件至最新版本问题解决。

» 本文链接:http://www.hpiss.com/7488.html
» 订阅本站:http://www.hpiss.com/feed
» 转载请注明来源:HPISS » 《分析Windows Dump-一般软件问题》

发表评论