Me encontré con un error recurrente en los registros de eventos de mi servidor Windows 2012 R2 Hyper-V. El evento de error se muestra a continuación.
Error 12/16/2020 15:47:31 Error de aplicación 1000 (100) Error
nombre de la aplicación: CMD.exe, versión: 6.3.9600.17415, marca de tiempo: 0x545042b1 Nombre del módulo con errores: KERNELBASE.dll, versión: 6.3.9600.19678, marca de tiempo: 0x5e82c88a Código de excepción: 0xc0000142 Compensación de errores: 0x00000000000ecf40 ID del proceso de ejecución: 0x3290 Aplicación errónea hora de inicio: 0x01d6d3c2c2c9aa7d Ruta de acceso de la aplicación con errores: C:\Windows\System32\CMD.exe Ruta de acceso del módulo con errores: KERNELBASE.dll Id. del informe: 0164a878-3fb6-11eb-8109-cd63031d6b26 Nombre completo del paquete con errores: Id. de la aplicación relativa al paquete con errores:
Parece estar sucediendo en ciertos momentos de la tarde, alrededor de las 3 p. m. y las 4 p. m. Revisé si hay alguna tarea programada que se esté ejecutando en este momento, pero no puedo identificar ninguna. Ejecuté un análisis SFC para ver si kernelbase.dll se ha dañado, pero el análisis regresó sin problemas.
¿Alguien se ha encontrado con este problema antes? y si es así, ¿puede indicarnos qué se hizo para corregirlo?
Respuesta1
Probablemente quieras saber primero quién está ejecutando realmente cmd.exe, que no está incluido en el evento. Primero miraría su registro de eventos de seguridad para ver si tieneEventos 4688 y 4689allá. Luego puede buscar el evento 4688 que ocurrió aproximadamente al mismo tiempo que ocurrió el error de aplicación (aunque es posible que cmd.exe se haya ejecutado por un tiempo antes de fallar).
Si revisar el registro de eventos de seguridad es demasiado tedioso, también puede instalar una versión de prueba gratuita deCentinela de eventoslo que normaliza los eventos de seguridad de la actividad del proceso y facilita su búsqueda.
El evento 4688 también puede incluir los argumentos de la línea de comando si la política de grupo está configurada de esa manera (consulte el enlace system32 arriba) que debería ayudar a rastrear qué lo está causando.