我在 Windows 2012 R2 Hyper-V 伺服器的事件日誌中遇到了重複的錯誤。錯誤事件如下圖所示。
錯誤 16/12/2020 15:47:31 應用程式錯誤 1000 (100) 故障
應用程式名稱:CMD.exe,版本:6.3.9600.17415,時間戳記:0x545042b1 錯誤模組名稱:KERNELBASE.dll,版本:6.3.9600.19678,時間戳記:0x5e82c88a 異常值: 0x3290 錯誤的應用程式啟動時間:0x01d6d3c2c2c9aa7d 錯誤應用程式路徑:C:\Windows\System32\CMD.exe 錯誤模組路徑:KERNELBASE.dll 報告ID:0164a878-3fb6-11eb-8109-cd相關應用程式ID:
它似乎發生在下午的某些時間,即下午 3 點和 4 點左右。我檢查了是否有任何計劃任務正在運行,但無法識別。我已執行 SFC 掃描以查看 kernelbase.dll 是否已損壞,但掃描返回時沒有任何問題。
以前有人遇到過這個問題嗎?如果是這樣,您能建議採取什麼措施來糾正它嗎?
答案1
您可能想先找出誰在實際執行 cmd.exe,這不包含在事件中。我首先會查看您的安全事件日誌,看看您是否有4688 和 4689 事件那裡。然後,您可以查找與應用程式錯誤發生大約同時發生的 4688 事件(儘管 cmd.exe 可能在崩潰之前運行了一段時間)。
如果查看安全事件日誌太繁瑣,那麼您也可以安裝免費試用版事件哨兵這使流程活動安全事件標準化並使它們更易於搜尋。
如果以這種方式配置群組原則(請參閱上面的 system32 連結),4688 事件還可能包括命令列參數,這應該有助於追蹤導致該事件的原因。