イベントログの内容
ログの名前: アプリケーション
ソース: Windows Error Reporting
イベント ID: 1001
レベル: 情報
詳細:
障害バケット 、種類 0
イベント名: BlueScreen
応答: 使用不可
Cab ID: 0
問題の署名:
P1:
P2:
P3:
P4:
P5:
P6:
P7:
P8:
P9:
P10:
添付ファイル:
C:\Windows\Minidump\072614-77204-01.dmp
C:\Users\Username\AppData\Local\Temp\WER-139090-0.sysdata.xml
C:\Users\Username\AppData\Local\Temp\WER8FDF.tmp.WERInternalMetadata.xml
これらのファイルは次の場所にある可能性があります:
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\Kernel_0_0_cab_0d4a900e
分析記号:
解決策を再確認中: 0
レポート ID: 072614-77204-01
レポートの状態: 0
イベント名: BlueScreen
応答: 使用不可
Cab ID: 0
問題の署名:
P1:
P2:
P3:
P4:
P5:
P6:
P7:
P8:
P9:
P10:
添付ファイル:
C:\Windows\Minidump\072614-77204-01.dmp
C:\Users\Username\AppData\Local\Temp\WER-139090-0.sysdata.xml
C:\Users\Username\AppData\Local\Temp\WER8FDF.tmp.WERInternalMetadata.xml
これらのファイルは次の場所にある可能性があります:
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\Kernel_0_0_cab_0d4a900e
分析記号:
解決策を再確認中: 0
レポート ID: 072614-77204-01
レポートの状態: 0
※Username は私のアカウント名が書かれていました。
ログの出力について
同時刻に計12個の同じイベント ID のログが出力されていました。
そのうちの 9 つは イベント名が LiveKernelEvent となっており、3 つがイベント名 BlueScreen となっていました。
イベント名が BlueScreen となっているログでは添付ファイルの格納場所が 私のプロファイル にあったのですが、LiveKerlelEvent となっているログは下記のように Windows の Temp フォルダに出力されており、パスが異なっていました。
添付ファイル:
C:\Windows\LiveKernelReports\WATCHDOG\WD-20141011-1012.dmp
C:\Windows\Temp\WER-5561045-0.sysdata.xml
C:\Windows\Temp\WERDF38.tmp.WERInternalMetadata.xml
イベント名 BlueScreen
イベント名が BlueScreen となっているので、リブートが行われたかをチェックします。
イベントログの システム ログ を見ます。
これでシステムの起動・停止が見れます。
最後にシステムが起動したのは 21:19:28 となっているので、この Blue Screen のイベントが発生した時にはリブート等は行われていないようです。
この時間のシステム ログ
イベントが発生した 21:34:02 のシステムログを確認してみます。
21:34:02 Service Control Manager (7036)
Problem Reports and Solutions Control Panel Support サービスは 実行中 状態に移行しました。
21:34:16 Service Control Manager (7036)
Problem Reports and Solutions Control Panel Support サービスは 停止 状態に移行しました。
21:34:43 Service Control Manager (7036)
Application Experience サービスは 停止 状態に移行しました。
この時間帯には3つのイベントがありました。
エラーのログを出力するための動作を記録しているように見えました。
dump ファイルのチェック
イベントログに記載されていた dump ファイルを探してみます。
Minidump
出力先は C:\Windows\Minidump\ となっています。
sysdata ファイルや WERInternalMetadata ファイル
Temp フォルダの sysdata ファイルや WERInternalMetadata ファイルも同じように探してみます。
でも、C:\Users\Username\AppData\Local\Temp\ には該当のファイルは残っていませんでした。
イベントログ中、「これらのファイルは次の場所にある可能性があります」 と書かれた場所に該当のファイルは残っていました。
フォルダ(C:\ProgramData\Microsoft\Windows\WER\ReportQueue\)配下に 12個フォルダがあってそれぞれがイベントログの1イベントに対応しているようでした。
※WER と言うのは Windows Error Reporting の略となっています。
中を見ます。
つまり過去に発生した Stop エラーのログが今でも出続けているようです。
Windows Error Reporting 1001 のログ
アプリケーション ログに戻って Windows Error Reporting 1001 のログを検索してみたところ、大量に出力していました。
恐らくシステムを起動するたび毎に 12 個の Windwows Error Reporting のエラーが出ているようです。
WER のログ ファイル
Windows Error Reporting のログファイルを見ることにします。
C:\ProgramData\Microsoft\Windows\WER\ReportQueue\ の下です。
フォルダが Kernel_0_0_cab_xxxxxx となっていました。
Kernel の部分はエラーの種類によりいくつかのフォーマットがあるようです。
AppCrash_xxxx、AppHang_xxxx、Critical_xxxx、Kernel_xxxx、NonCritical_xxxx などです。
今回のイベントログが示しているエラーは Kernel のエラーとなっているようです。
次にそれぞれのフォルダの中身ですが、4つのファイルがあります。(Kernel のエラーだから4つなのかもしれないです)
・Report.wer ・・・①
・dmp ファイル ・・・②
・WER-xxx.sysdata.xml ・・・③
・WERxxx.WERInternalMetadata.xml ・・・④
①Report.wer ファイル
テキストで開いて内容を読めます。
見ると EventType が LiveKernelEvent のものと BlueScreen のものがありました。
その他エラー発生時間、ダンプファイル名、その他詳細情報が書かれています。
②メモリダンプファイルです。
③sysdata ファイル
OSバージョンや言語などのシステム情報、それとデバイス情報の一覧といった内容が書かれています。
④WERInternalMetadata
これもOSバージョンといった情報がかかれています。
今度はツールを使っての解析をしてみます。
AppCrashView
まずは AppCrashView。
アプリケーション クラッシュを調査するためのツールです。
nirsoft のサイト からダウンロードします。
→ http://www.nirsoft.net/utils/app_crash_view.html
ダウンロードしたら AppCrashView.exe を実行するだけで起動できます。
「動作が停止しました」とか「予期しないシャットダウン」とかそんなイベントです。
今回の Kernel のエラーはこのツールでは見つけられなかったです。
BlueScreenView
次も nirsoft のツール、BlueScreenView を使います。
Stop エラー発生時のメモリダンプの解析に使います。
→ http://www.nirsoft.net/utils/blue_screen_view.html
ダウンロードして実行後、ダンプファイルを読み込ませます。
場所を変更するのは[Options]-[Advanced Options]です。
「Load a single MiniDump File」欄にダンプファイルをフルパスで指定すると、読み込むことができます。(例:C:\ProgramData\Microsoft\Windows\WER\ReportQueue\Kernel_0_0_cab_0c8df8bf\080613-67392-01.dmp)
クラッシュした時間: 2013/8/6 21:42:07 (1年以上前)
STOP エラーコード(Bug Check Code): 0x0000003b (SYSTEM_SERVICE_EXCEPTION)
クラッシュしたドライバとアドレス: ntoskrnl.exe+75c00
[下半分に表示された内容]
ダンプファイルが出力されたタイミングでロードされているすべての dll 情報。
STOP エラーコードやアドレスの内容をネットで検索すると、同じ事象の書き込みが多数見つかります。
グラフィックボードのドライバが古いとか、デバイスドライバがらみの問題が多いようです。
STOP 0x0000003B: SYSTEM_SERVICE_EXCEPTION
Usual causes: System service, Device driver, graphics driver, memory
頻発している人はドライバをアップデートしたりとしているようです。
私の場合には過去に起きたことがあるというだけなので問題は無いようです。
この過去に起きたエラーのイベントログへの出力を出ないようにする
今後もこの 12 個のエラーが書かれ続けるのをやめます。
手動で先ほどのエラーのファイルを削除すれば OK ですし、ツールで削除する方法もあります。
CCleaner
→ http://www.piriform.com/ccleaner
マシン上の不要ファイルを削除して、データのスリム化とスピードアップをするためのツールです。
起動して、Windows の「ウィンドウズ エラー報告」の項目にチェックをつけて実行します。
これで古いレポートデータが削除され、イベントログに同じエラーが二度と出ないようになりました。
日記の一覧に戻る
Maruton'S Memorandum: [日記]イベントログ(ソース:Windows Error Reporting、Eventid:1001)の確認と対応 >>>>> Download Now
返信削除>>>>> Download Full
Maruton'S Memorandum: [日記]イベントログ(ソース:Windows Error Reporting、Eventid:1001)の確認と対応 >>>>> Download LINK
>>>>> Download Now
Maruton'S Memorandum: [日記]イベントログ(ソース:Windows Error Reporting、Eventid:1001)の確認と対応 >>>>> Download Full
>>>>> Download LINK S8