我在我的 Windows 2012 R2 Hyper-V 服务器的事件日志中遇到了再次发生的错误。错误事件如下所示。
错误 16/12/2020 15:47:31 应用程序错误 1000 (100) 故障
应用程序名称:CMD.exe,版本:6.3.9600.17415,时间戳:0x545042b1 错误模块名称:KERNELBASE.dll,版本:6.3.9600.19678,时间戳:0x5e82c88a 异常代码:0xc0000142 错误偏移量:0x00000000000ecf40 错误进程 id:开始时间:0x01d6d3c2c2c9aa7d 错误应用程序路径:C:\Windows\System32\CMD.exe 错误模块路径:KERNELBASE.dll 报告 ID:0164a878-3fb6-11eb-8109-cd63031d6b26 错误包全名:错误包相对应用程序 ID:
它似乎发生在下午的某些时间,大约下午 3 点和 4 点左右。我检查了此时是否有任何计划任务正在运行但无法识别任何任务。我运行了 SFC 扫描以查看 kernelbase.dll 是否已损坏,但扫描返回没有问题。
有没有人遇到过这个问题?如果是这样,你能告诉我做了什么来纠正它吗?
您可能希望首先找出谁在实际执行 cmd.exe,该事件不包括在事件中。我会首先查看您的安全事件日志,看看您那里是否有4688 和 4689 事件。然后,您可以查找在应用程序错误发生的同时发生的 4688 事件(尽管 cmd.exe 可能在崩溃之前运行了一段时间)。
如果浏览安全事件日志太乏味,那么您还可以安装EventSentry的免费试用版,它将流程活动安全事件规范化并使其更易于搜索。
如果组策略以这种方式配置(参见上面的 system32 链接),则 4688 事件还可能包含命令行参数,这应该有助于追踪导致它的原因。