本文介紹Windows系統異常重啟以及藍屏的處理方法。
問題描述
在Windows系統下,有時會遇到藍屏(BSOD,Blue Screen of Death)情況。Windows操作系統在遇到異常的情況下,為了防止數據丟失,系統自動崩潰藍屏,如果有配置內存轉儲文件(crash dump)的收集,系統會自動生成藍屏dump到指定的目錄,默認文件為C:\Windows\memory.dmp。
問題原因
通常有多種原因導致操作系統藍屏,其中一些原因如下所示。
因為誤操作或者病毒引起的系統文件、注冊表損壞。
驅動程序與操作系統兼容性引起的異常內存訪問。
操作系統自身Bug。
第三方殺毒軟件驅動異常。
操作系統在藍屏的情況下,會顯示對應的Bug Check Code Reference,以及可能導致藍屏的模塊。在顯示的界面中會大概說明問題發生的原因。
解決方案
阿里云提醒您:
如果您對實例或數據有修改、變更等風險操作,務必注意實例的容災、容錯能力,確保數據安全。
如果您對實例(包括但不限于ECS、RDS)等進行配置與數據修改,建議提前創建快照或開啟RDS日志備份等功能。
如果您在阿里云平臺授權或者提交過登錄賬號、密碼等安全信息,建議您及時修改。
微軟官方列舉了Bug Check Code Reference如何處理Windows藍屏,請參見實踐操作和跟進方案。
實踐操作
根據微軟官方的建議以及日常排查經驗,為了防止系統藍屏的發生以及可能引起的數據丟失,建議您做如下操作。
請在ECS上啟用安騎士防護或其它商業版殺毒防護工具,定期殺毒,定期更新殺毒軟件版本,防止病毒或者殺毒軟件驅動與操作系統兼容性引起的藍屏。
請定期運行Windows Update,確保微軟最新安全更新已經安裝。
請不要將重要數據放在系統盤,而是使用數據盤。
定期對系統盤、數據盤進行快照,以便問題情況下恢復數據。
請在修改系統注冊表前備份注冊表文件,避免修改系統文件。
跟進方案
如果Windows實例在使用過程中突然斷開、無法遠程,查看日志發現異常重啟的情況,懷疑可能出現過系統藍屏,請采用如下方法驗證。
方案一:在事件查看器中,打開系統日志,在問題發生時間點,如果看到有來源”volmgr”拋出的事件 ID為46的事件,說明之前發生過藍屏,但是由于沒有配置頁面文件以及內存轉儲文件的配置,導致dump收集失敗,故障轉儲初始化未成功。
方案二:如果之前有正常配置過藍屏收集,在系統日志中可以發現事件 ID為 41 的Kernel-Power的關鍵錯誤日志,提示系統從意外的關閉中回復以及事件 ID為1001,來源為Bugcheck的日志提示系統出現崩潰。
由于藍屏日志的分析非常耗時,可能耗費一周或更多的時間。考慮到業務快速恢復,強烈建議您在遇到藍屏的情況下,重啟機器后,參考如上的最佳實踐。根據問題原因,您可以在問題發生后,采用如下方法來避免潛在的已知問題。
卸載系統所有第三方殺毒軟件,禁用殺毒軟件的防護功能,一般不會消除殺毒軟件內核驅動的影響。
安全模式下,使用微軟Msert離線殺毒工具或者第三方收費版本殺毒軟件殺毒。
運行Windows Update,安裝所有更新。