Microsoft/Windows Platform

Drwtsn32 on Windows Server 2008 / WER

リュちゃん 2011. 1. 10. 09:39

Windows XPServer 2003 에서는 application에서 crash가 발생 하면 Dr.Watson을 통해 에러 로그나 .dump 파일이 생성 되었는지 확인하고 문제를 해결 할 수 있었습니다.
그러나 Windows Vista와 7 그리고 Server 2008 에는 
Drwtsn32.exe 이 더이상 존재 하지 않습니다.
그러면 어떻게 여전히 Windows server 2008에서도 발생하는 "Event ID 1000 " 어플리케이션 에러 로그의 원인을 분석 할 수 있을 까요?

어플리케이션이나 서비스에서 크래시가 발생하면 아래의 위치에 User mode 덤프가 생성 됩니다.

If the crashing application is User Access Control (UAC) elevated, the dumps will be located at
C:\ProgramData\Microsoft\Windows\WER\ReportQueue depending on whether queue mode is set or not.
제 서버의 경우
C:\ProgramData\Microsoft\Windows\WER\ReportArchive  에 User Mode dump가 생성 되었음을 확인하였습니다.


If the application is not UAC elevated (LUA), it will be at
Note:  Where UserProfileName is the actual user profile name.

The easiest method to look for the user mode memory dumps is to go down to CMD (run as admin) or Powershell
dir *.*dmp /s
dir *.*dmp /s


만약에 위에서 언급한 디렉터리에서 덤프 파일을 찾을 수 없다면 아래와 같이 레지스트리 키를 수정 한 후  User mode 덤프 파일을 생성 할 수 있습니다.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\
Disabled (dword) 0 (hex)
LoggingDisabled (dword) 0 (hex)
ForceQueue (dword) 1 (hex)
DisableQueue (dword) 0 (hex)
MaxQueueCount (dword) 32 (he x)
    Note:  32 hex = 50 dec which is the default.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Windows Error Reporting
LocalDumps (Key)
DumpFolder (Expandable String Value) %LocalAppData%\CrashDumps
    Note:  System services is %WINDIR%\System32\Config\SystemProfile.
    For Network and Local Services, the folder is %WINDIR%\ServiceProfiles.

DumpType (DumpCount) 2 (hex)
    Note:  Where 2 is setting for a "Full Dump". 
[참고 사이트]
Collecting User-Mode Dumps

Drwtsn32 on Windows Vista/Windows Server 2008/Windows 7/Windows Server 2008 R2