Cómo capturar el volcado de procesos en Windows cuando se bloquea aleatoriamente
57223
Created On 05/22/22 12:47 PM - Last Modified 07/13/23 07:53 AM
Objective
En escenarios donde el proceso se bloquea aleatoriamente, necesitamos usar una herramienta dedicada que capture el volcado
aleatorio del proceso Proc Dump es una herramienta interna de Microsoft Sys que podemos usar para este propósito.
Environment
- Windows OS
- Escenarios de solución de problemas en Cortex XDR los que se bloquea el proceso
Procedure
Descargar Procdump Microsoft Procdump
Procdump volcará la memoria del proceso automáticamente cuando se bloquee (volcado completo del proceso) cuando siga los siguientes pasos.
- Crear una carpeta para volcados
- Ejecute el siguiente comando desde donde se encuentra procdump.exe: procdump -ma -i <la carpeta en la que volcar>
Por ejemplo: procdump -ma -i c:\dumps
- El comando procdump establece procdump para que se ejecute siempre que haya una excepción no controlada (un bloqueo).
- Esto significa que cada vez que cualquier proceso falla, se tomará un volcado del proceso y se guardará en la ruta suministrada.
Additional Information
Palo Alto no soporta la herramienta, El artículo se da en caso de que los clientes no conozcan esta herramienta para capturar el volcado del proceso.
Uso: procdump [-a] [[-c|-cl CPU usage] [-u] [-s segundos]] [-n excede] [-e [1 [-b]] [-f <filtro,... >] [-g] [-h] [-l] [-m|-ml commit usage] [-ma | -mp] [-o] [-p|-pl counter threshold] [-r] [-t] [-d <callback DLL>] [-64] <[-w] <nombre de proceso o nombre de servicio o PID> [archivo de volcado] | -i <archivo de volcado> | -u | -x <archivo de volcado> <archivo de imagen> [argumentos] >] [-? [ -e]
| Parámetro | Descripción |
| -un | Evite interrupciones. Requiere -r. Si el disparador hace que el objetivo se suspenda durante un tiempo prolongado debido a un límite de volcado simultáneo excedido, se omitirá el disparador. |
| -en | Evite interrupciones en Timeout. Cancele la recopilación del desencadenador en N segundos. |
| -b | Trate los puntos de interrupción de depuración como excepciones (de lo contrario, ignórelos). |
| -c | CPU umbral en el que crear un volcado del proceso. |
| -Cl | CPU umbral por debajo del cual crear un volcado del proceso. |
| -d | Invoque la rutina de devolución de llamada minidump denominada MiniDumpCallbackRoutine del DLLarchivo . |
| -e | Escriba un volcado cuando el proceso encuentre una excepción no controlada. Incluya el 1 para crear volcado en excepciones de primera oportunidad. |
| -f | Filtra las excepciones de primera oportunidad. Se admiten comodines (*). Para mostrar los nombres sin volcar, utilice un filtro ("") en blanco. |
| -Fx | Filtrar (excluir) el contenido de las excepciones y el registro de depuración. Se admiten caracteres comodín. |
| -g | Ejecutar como depurador nativo en un proceso administrado (sin interoperabilidad). |
| -h | Escriba el volcado si el proceso tiene una ventana bloqueada (no responde a los mensajes de la ventana durante al menos 5 segundos). |
| -i | Instale ProcDump como depurador postmortem de AeDebug. Solo se admiten -ma, -mp, -d y -r como opciones adicionales. |
| -k | Matar el proceso después de la clonación (-r) o al final de la colección de volcado |
| -l | Mostrar el registro de depuración del proceso. |
| -m | Umbral de confirmación de memoria en MB el que crear un volcado. |
| -mamá | Escriba un archivo de volcado con toda la memoria de proceso. El formato de volcado predeterminado solo incluye información de subprocesos y identificadores. |
| -Mc | Escriba un archivo de volcado personalizado. Incluir memoria definida por la máscara de MINIDUMP_TYPE especificada (hexadecimal). |
| -Md | Escriba un archivo de volcado de devolución de llamada. Incluir memoria definida por la rutina de devolución de llamada MiniDumpWriteDump denominada MiniDumpCallbackRoutine del DLLarchivo . |
| -Mk | También escriba un archivo de volcado del kernel. Incluye las pilas de kernel de los subprocesos del proceso. OS No admite un volcado de kernel (-mk) cuando se usa un clon (-r). Cuando se utilizan varios tamaños de volcado, se toma un volcado de kernel para cada tamaño de volcado. |
| -ml | Se desencadena cuando la confirmación de memoria cae por debajo del valor especificado MB . |
| -milímetro | Escriba un mini archivo de volcado (predeterminado). |
| -Mp | Escriba un archivo de volcado con información de subprocesos y manejadores, y toda la memoria de proceso de lectura/escritura. Para minimizar el tamaño del volcado, se buscan áreas de memoria de más de 512 MB y, si se encuentran, se excluye el área más grande. A El área de memoria es la colección de áreas de asignación de memoria del mismo tamaño. La eliminación de esta memoria (caché) reduce los volcados de Exchange y SQL Server en más del 90%. |
| -n | Número de volcados para escribir antes de salir. |
| -o | Sobrescribir un archivo de volcado existente. |
| -p | Se desencadena en el contador de rendimiento especificado cuando se supera el umbral. Nota: para especificar un contador de proceso cuando hay varias instancias del proceso en ejecución, utilice el proceso ID con la siguiente sintaxis: "\Process(<name>_<pid>)\counter" |
| -.pl | Se desencadena cuando el contador de rendimiento cae por debajo del valor especificado. |
| -r | Volcado usando un clon. El límite simultáneo es opcional (valor predeterminado 1, máximo 5). CAUTION: un valor de simultaneidad alto puede afectar al rendimiento del sistema. - Windows 7 : Utiliza Reflection. OS no admite -e. - Windows 8.0 : Utiliza Reflection. OS no admite -e. - Windows 8.1+: Utiliza PSS. Se admiten todos los tipos de desencadenadores. |
| -s | Segundos consecutivos antes de que se escriba el volcado (el valor predeterminado es 10). |
| -t | Escriba un volcado cuando finalice el proceso. |
| -u | Trate CPU el uso en relación con un solo núcleo (utilizado con -c). Como única opción, desinstala ProcDump como depurador postmortem. |
| -w | Espere a que se inicie el proceso especificado si no se está ejecutando. |
| -Wer | Ponga en cola el volcado (más grande) en Informe de errores de Windows. |
| -x | Inicie la imagen especificada con argumentos opcionales. Si se trata de una aplicación o paquete de tienda, ProcDump se iniciará en la siguiente activación (solamente). |
| -64 | De forma predeterminada, ProcDump capturará un volcado de 32 bits de un proceso de 32 bits cuando se ejecute en Windows de 64 bits. Esta opción se reemplaza para crear un volcado de 64 bits. Solo utilícelo para la depuración del subsistema WOW64. |
| -? | ¿Uso-? -e para ver ejemplos de líneas de comando. |
Indicadores de opción ProcDump: