Windows 2012 R2 Hyper-V 서버의 이벤트 로그에서 오류가 다시 발생하는 것을 발견했습니다. 오류 이벤트는 아래와 같습니다.
오류 16/12/2020 15:47:31 응용 프로그램 오류 1000(100) 오류
응용 프로그램 이름: CMD.exe, 버전: 6.3.9600.17415, 타임 스탬프: 0x545042b1 오류가 있는 모듈 이름: KERNELBASE.dll, 버전: 6.3.9600.19678, 타임 스탬프: 0x5e82c88a 예외 코드: 0xc0000142 오류 오프셋: 0x00000000000ecf40 F 오류 프로세스 ID: 0x3290 오류가 있는 응용 프로그램 시작 시간: 0x01d6d3c2c2c9aa7d 오류가 있는 응용 프로그램 경로: C:\Windows\System32\CMD.exe 오류가 있는 모듈 경로: KERNELBASE.dll 보고서 ID: 0164a878-3fb6-11eb-8109-cd63031d6b26 오류가 있는 패키지 전체 이름: 오류가 있는 패키지 관련 응용 프로그램 ID:
오후 3시, 4시 등 특정 시간에 발생하는 것으로 보입니다. 현재 실행 중이지만 식별할 수 없는 예약된 작업이 있는지 확인했습니다. kernelbase.dll이 손상되었는지 확인하기 위해 SFC 스캔을 실행했지만 문제 없이 스캔이 반환되었습니다.
이전에 이 문제를 겪은 사람이 있나요? 그렇다면 이를 수정하기 위해 어떤 조치를 취했는지 조언해 주실 수 있나요?
답변1
이벤트에 포함되지 않은 cmd.exe를 실제로 실행하는 사람이 누구인지 먼저 확인하고 싶을 것입니다. 먼저 귀하의 보안 이벤트 로그를 살펴보고4688 및 4689 이벤트거기. 그런 다음 응용 프로그램 오류가 발생한 것과 거의 같은 시간에 발생한 4688 이벤트를 찾을 수 있습니다(비록 cmd.exe가 충돌하기 전에 잠시 동안 실행되었을 수도 있음).
보안 이벤트 로그를 살펴보는 것이 너무 지루하다면 무료 평가판을 설치할 수도 있습니다.이벤트센트리이는 프로세스 활동 보안 이벤트를 정규화하고 검색을 더 쉽게 만듭니다.
4688 이벤트에는 그룹 정책이 원인을 추적하는 데 도움이 되는 방식으로 구성된 경우(위의 system32 링크 참조) 명령줄 인수가 포함될 수도 있습니다.