Questão Onde procurar a seguir se o Windows desligar com um cursor ocupado por 5 a 10 minutos, sem erros no Visualizador de Eventos


Estou familiarizado com problemas de baixo nível no Windows (por exemplo, falha no disco rígido ou erro físico), causando um bloqueio / congelamento de baixo nível no Windows que dura para sempre ou até que a condição de erro seja resolvida. O que eu não estou acostumado é descobrir onde procurar em ferramentas de diagnóstico do Windows, além de Visualizar eventos após um erro tão grande, para encontrar erros.

A parte mais útil do Visualizador de Eventos, nesse caso, seria normalmente a exibição filtrada Visualizações Personalizadas> Eventos Administrativos, que reúne muitas informações sérias juntas. Esse filtro mostra NO data para a data de hoje e seu último evento foi a noite anterior. O sistema acabou de se recuperar depois de 10 minutos sem responder a qualquer entrada de teclado ou mouse. Após 10 minutos, o Windows se recuperou e consegui pelo menos abrir o gerenciador de tarefas.

Durante esses 10 minutos de tempo "suspenso", o cursor do mouse se movia quando eu arrastava o mouse, mas nada mais parecia estar acontecendo. Ele não parece deixar nenhuma indicação em nenhum dos 10 ou 20 locais habituais no Visualizador de Eventos que eu verifiquei (cada seção nos Logs do Windows, também tudo nos Aplicativos de nível superior nos Logs de Serviços).

Meu palpite é que eu deveria ativar alguns logs do visualizador de eventos que estão atualmente desativados. Se sim, quais são. Se eu deveria ir em algum lugar diferente do visualizador de eventos, qual lugar seria bom verificar?

Se isso fosse linux, eu estaria olhando dmesg e journalctl para procurar e logs do kernel e do sistema, mas o visualizador de eventos é o mais próximo dos "logs do sistema" que o Windows realmente possui.

Atualização: Eu tentei capturar informações de rastreamento ETL com wpr.exe mas está falhando com um erro ao gravar no disco. ele diz que o disco está cheio, o que não é possível, tem> 100 GB de espaço livre e o rastreio do wpr estava executando apenas 5 minutos, por isso acho difícil acreditar em um arquivo .etl de mais de 100 GB. . Além disso, usando os utilitários CrystalDiskInfo e WD, verifiquei o disco rígido S.M.A.R.T. status, e não há problemas de disco relatados por qualquer ferramenta. Uma explicação sensata para o travamento do sistema seria um problema de E / S de disco ao gravar o arquivo de paginação. Mas então deve haver erros no visualizador de eventos. Incapacidade de fazer um wpr.exe-stop é ímpar:

wpr.exe -stop C:\hang.etl 
There is not enough space on the disk. 
Profile Id: RunningProfile 
Error code: 0x80070070 There is not enough space on the disk.

1


origem


É estranho que nada esteja nos registros de eventos. Erros de sistema de armazenamento definitivamente seriam registrados. Meu palpite é que um subsistema de não armazenamento (CPU?) Estava saturado, o que não necessariamente resultaria em algo sendo registrado. Qualquer chance que você pode ter o Monitor de Recursos ou Process Explorer aberto quando isso acontece para que você possa observar? - Twisty Impersonator
Pressione a tecla CAPS LOCK durante a interrupção e verifique se o LED de status está ativado ou não. Se ele alterna, é um congelamento baseado em software, se ele não faz o Google, você tem um problema de hardware. - magicandre1981
Bom ponto. Estou começando a suspeitar que tenho um congelamento relacionado à mitigação / diminuição de espectros na camada do Kernel do Windows. É um bloqueio global do kernel, que eu suspeito que eu precise do WinDbg para encontrar. - Warren P
a luz alterna ou não? - magicandre1981
sim. o caps lock alterna. o mouse também se move, então o kernel do NT está ativo, mas todos os processos do modo de usuário estão suspensos. gerenciador de tarefas não irá abrir, ctrl-alt-del não tem efeito. Aconteceu 10 vezes, em 3 versões diferentes do kernel do Windows 10 (a atualização dos criadores do outono e as compilações de visualizações internas) - Warren P


Respostas: