Task Manager Live-Speicherabbild

Übersicht

Der Task-Manager ist jetzt in Windows Insider Preview Builds im Canary Channel (Build 25276 und höher) und Dev Channel (Build 23419 und höher) verfügbar und kann zum Erstellen eines Live-Kernelspeicherabbilds verwendet werden. Dies ist zusätzlich zu der vorhandenen Funktion der Verwendung des Task-Managers zum Erstellen eines Speicherabbilds eines bestimmten Prozesses.

Ein Live-Kernelspeicherabbild enthält eine konsistente Momentaufnahme des Kernelspeichers (und optional andere Speichertypen) und speichert es in einer Dumpdatei. Im Gegensatz zu anderen Methoden zum manuellen Generieren eines Kernelspeicherabbilds verursacht diese Methode keinen Systemabsturz.

Programmierer mit Zugriff auf entsprechende Symboldateien und Quellcode können die Dumpdatei analysieren, um den Systemstatus zu untersuchen und Probleme zu diagnostizieren.

Die Option zum Erstellen eines Live-Kernelspeicherabbilds ist im Systemprozess verfügbar, ähnlich wie eine Option zum Erstellen einer Speicherabbilddatei für Benutzermodusprozesse verfügbar ist.

Ein Vollständiges Live-Kernelspeicherabbild enthält aktiven Kernelspeicher mit optionalem Hypervisorspeicher und Benutzermodusspeicher. Die Optionen zum Erfassen von Hypervisor- und Benutzerseiten sind für vollständige Live-Kernelabbilder verfügbar. Alternativ ist ein Kernelstapelspeicherabbild eine kleinere Datei, die auf Kernelprozessorzustände und alle Kernelthreadstapel beschränkt ist.

Allgemeine Informationen zu Live-Kernelspeicherabbildern finden Sie unter Referenz zu Kernel-Livespeicherabbildcode.

Erstellen eines Live-Kernelspeicherabbilds des Systems mithilfe des Task-Managers

Führen Sie zum Erfassen eines Live-Kernelspeicherabbilds mithilfe des Task-Managers die folgenden Schritte aus.

1. Starten Sie Windows Task-Manager.

2. Navigieren Sie zu Prozesse oder Details.

3. Suchen Sie den Systemprozess .

4. Klicken Sie mit der rechten Maustaste, und wählen Sie Live-Kernelspeicherabbilddatei erstellen aus.

5. Wählen Sie im Pulldownmenü entweder ein Vollständiges Live-Kernelspeicherabbild oder ein Kernel stacks-Speicherabbild aus.

Erstellen eines Speicherabbilds für einen Benutzermodusprozess

Eine ähnliche Prozedur wird im Task-Manager verwendet, um ein Speicherabbild eines Prozesses zu erstellen. Markieren Sie den gewünschten Benutzermodusprozess, und klicken Sie dann mit der rechten Maustaste, und wählen Sie Speicherabbilddatei erstellen aus. Weitere Informationen zu Abbilddateien im Benutzermodus finden Sie unter Benutzermodus-Dumpdateien.

Erweiterte Optionen für die Live-Kernelspeicherabbilddatei

Die Optionen für die Live-Kernelspeicherabbilddatei sind unter den Task-Manager-Einstellungen verfügbar.

Mit der oberen Schaltfläche werden die Einstellungen des Live-Kernelspeicherabbilds auf die Standardwerte zurückgesetzt.

Wenn die Option Abbruch bei Arbeitsspeicherdruck ausgewählt ist, wird der Liveabbildvorgang beendet, wenn die Arbeitsspeicherverfügbarkeit nicht als ausreichend angesehen wird. Dies ist die Standardeinstellung, um die potenziellen Auswirkungen der Erfassung des Live-Kernelabbilds auf die Reaktionsfähigkeit des Systems zu minimieren.

Die Einstellungen der Kernel-Livespeicherabbilddatei bieten mehrere Optionen für die Informationen, die in das Speicherabbild aufgenommen werden sollen.

• Erfassen von Hypervisor-Speicherseiten (mit oder ohne nicht wesentliche Seiten)
• Erfassen von Benutzerseiten

Das Hinzufügen zusätzlicher Informationen zu der Dumpdatei erhöht ihre Größe und verwendet zusätzlichen Arbeitsspeicher, wenn das Speicherabbild aufgezeichnet wird.

Erfassen von Hypervisorspeicherseiten

Wählen Sie die Option Hypervisorspeicherseiten erfassen aus, um Speicherbereiche zu erfassen, die vom Hypervisor zur Unterstützung von Hyper-V und virtuellen Computern verwendet werden. Weitere Informationen finden Sie unter Hyper-V unter Windows.

Sie können nicht erforderliche Hypervisor-Speicherseiten einschließen oder nicht einschließen.

Erfassen von Benutzerseiten

Aktivieren Sie Benutzerseiten erfassen , wenn für das Problem, das Sie behandeln, Arbeitsspeicher im Benutzermodus erforderlich ist.

Allgemeine Informationen zur Windows-Speicher- und Seitennutzung finden Sie unter Windows Internals by Pavel Yosifovich, Alex Ionescu, Mark Russinovich und David Solomon.

Speicherort der Livespeicherabbilddatei

Wenn das Speicherabbild abgeschlossen ist, wird ein Dialogfeld angezeigt, das den Speicherort der Speicherabbilddatei .dmp bereitstellt. Klicken Sie auf Dateispeicherort öffnen , um den Ordner zu öffnen.

Live-Kernelspeicherabbilder

Die Live-Kernelspeicherabbilder werden standardmäßig hier gespeichert.

%LocalAppData%\Microsoft\Windows\TaskManager\LiveKernelDumps

%LocalAppData% ist in der Regel C:\Users\<YourUserName>\AppData\Local\

Speicherabbilder im Livebenutzermodus

Speicherabbilddateien im Livebenutzermodus werden im Verzeichnis %localappdata%\Temp gespeichert, das sich normalerweise im Verzeichnis Benutzer befindet.

C:\Users\<YourUserName>\AppData\Local\Temp

Problembehandlung beim Erstellen eines Livespeicherabbilds

Wenn das Livespeicherabbild einen Fehler zurückgibt, überprüfen Sie die Fehlermeldung auf Details. Beispiel:

• Der Task-Manager muss als Benutzer auf Administratorebene ausgeführt werden.

• Versuchen Sie bei Timeoutproblemen, das Dump in wenigen Minuten erneut zu erstellen.

• Warten Sie, bis ein angefordertes Dump abgeschlossen ist, bevor Sie zusätzliche Speicherabbilder erstellen.

• Es ist möglich, dass das Live-Kernelspeicherabbild erfolgreich erstellt wird, aber möglicherweise nicht den vollständigen Inhalt des Arbeitsspeichers enthält. Für die Erfassung ist vorübergehend genügend freier physischer Arbeitsspeicher erforderlich, um eine Kopie des Speichers zu speichern, der in die Dumpdatei geschrieben werden soll. Das Schließen nicht benötigter Anwendungen oder das Deaktivieren der Erfassung von Hyper-V- und Benutzermodus-Speicherseiten kann die Menge an Arbeitsspeicher erhöhen, die in der Speicherabbilddatei gespeichert werden kann.

Analysieren von Livespeicherabbilddateien

Wenn ein Livespeicherabbild auftritt, kann die Dumpdatei mit den gleichen Techniken analysiert werden, die für andere Speicherabbilddateien verwendet werden. Um den Inhalt des Arbeitsspeichers während eines Fehlers zu verstehen, sind in der Regel Kenntnisse über Prozessorspeicherregister und Assemblyprogrammierung erforderlich. Darüber hinaus ermöglicht der Zugriff auf den fehlerhaften Quellcode, dass das Problem vom Entwickler behoben werden kann.

Weitere Informationen finden Sie unter

• Analysieren einer Kernel-Mode-Dumpdatei mit WinDbg

• !Analysieren

• Kernel-Livespeicherabbildcodereferenz

Fehlerüberprüfungscode: 0x161 – LIVE_SYSTEM_DUMP

Der Fehlerüberprüfungscode für ein Task Manager-Livespeicherabbild lautet Bug Check 0x161: LIVE_SYSTEM_DUMP.

Weitere Informationen

• Verschiedene Kernel-Mode-Dumpdateien.

• Fehlerüberprüfung 0x161: LIVE_SYSTEM_DUMP

• Generieren eines Kernel- oder eines vollständigen Speicherabbilds