Windows 2012 R2 Hyper-V サーバーのイベント ログで、繰り返し発生するエラーに遭遇しました。エラー イベントを以下に示します。
エラー 16/12/2020 15:47:31 アプリケーション エラー 1000 (100) 障害
アプリケーション名: CMD.exe、バージョン: 6.3.9600.17415、タイムスタンプ: 0x545042b1 障害のあるモジュール名: KERNELBASE.dll、バージョン: 6.3.9600.19678、タイムスタンプ: 0x5e82c88a 例外コード: 0xc0000142 障害オフセット: 0x00000000000ecf40 障害のあるプロセス ID: 0x3290 障害のあるアプリケーションの開始時刻: 0x01d6d3c2c2c9aa7d 障害のあるアプリケーション パス: C:\Windows\System32\CMD.exe 障害のあるモジュール パス: KERNELBASE.dll レポート ID: 0164a878-3fb6-11eb-8109-cd63031d6b26 障害のあるパッケージの完全名: 障害のあるパッケージ相対アプリケーションID:
午後 3 時と 4 時頃の特定の時間に発生するようです。この時間に実行されているスケジュールされたタスクがあるかどうかを確認しましたが、特定できませんでした。kernelbase.dll が破損していないかどうかを確認するために SFC スキャンを実行しましたが、スキャンの結果は問題なしでした。
この問題に遭遇した人はいますか? もしそうなら、それを修正するために何をしたか教えていただけますか?
答え1
まず、イベントに含まれていないcmd.exeを実際に実行しているのは誰かを調べたいと思うでしょう。まず、セキュリティイベントログを調べて、4688 および 4689 イベントそこにあります。その後、アプリケーション エラーが発生したのとほぼ同時に発生した 4688 イベントを探すことができます (ただし、クラッシュする前に cmd.exe がしばらく実行されていた可能性もあります)。
セキュリティイベントログを確認するのが面倒な場合は、無料試用版をインストールすることもできます。イベントセントリーこれにより、プロセス アクティビティのセキュリティ イベントが正規化され、検索しやすくなります。
グループ ポリシーがそのように構成されている場合 (上記の system32 リンクを参照)、4688 イベントにはコマンド ライン引数も含まれる可能性があり、これが原因の追跡に役立ちます。