Я обнаружил повторяющуюся ошибку в журналах событий моего сервера Windows 2012 R2 Hyper-V. Событие ошибки показано ниже.
Ошибка 16/12/2020 15:47:31 Ошибка приложения 1000 (100) Сбой
Имя приложения: CMD.exe, версия: 6.3.9600.17415, временная метка: 0x545042b1 Имя сбойного модуля: KERNELBASE.dll, версия: 6.3.9600.19678, временная метка: 0x5e82c88a Код исключения: 0xc0000142 Смещение сбоя: 0x00000000000ecf40 Идентификатор сбойного процесса: 0x3290 Время запуска сбойного приложения: 0x01d6d3c2c2c9aa7d Путь сбойного приложения: C:\Windows\System32\CMD.exe Путь сбойного модуля: KERNELBASE.dll Идентификатор отчета: 0164a878-3fb6-11eb-8109-cd63031d6b26 Сбойный пакет заполнен имя: Идентификатор приложения, относящегося к ошибочному пакету:
Кажется, это происходит в определенное время днем, около 3 и 4 часов дня. Я проверил, есть ли какие-либо запланированные задачи, которые выполняются в это время, но не могу их определить. Я запустил сканирование SFC, чтобы проверить, не поврежден ли kernelbase.dll, но сканирование вернулось без проблем.
Кто-нибудь сталкивался с этой проблемой раньше? И если да, то можете ли вы посоветовать, что было сделано для ее устранения?
решение1
Вы, вероятно, захотите сначала выяснить, кто на самом деле запускает cmd.exe, который не включен в событие. Я бы сначала посмотрел ваш журнал событий безопасности, чтобы увидеть, есть ли у вас4688 и 4689 событиятам. Затем вы можете поискать событие 4688, которое произошло примерно в то же время, когда произошла ошибка приложения (хотя возможно, что cmd.exe работал некоторое время, прежде чем произошел сбой).
Если просмотр журнала событий безопасности слишком утомителен, вы также можете установить бесплатную пробную версиюEventSentryчто нормализует события безопасности активности процесса и упрощает их поиск.
Событие 4688 может также включать аргументы командной строки, если групповая политика настроена таким образом (см. ссылку system32 выше), что должно помочь отследить причину.