在Windows上为Sfc进程收集进程崩溃转储
简介
本文档介绍如何在Windows上为sfc进程收集进程崩溃转储。
先决条件
要求
Cisco 建议您了解以下主题:
- 思科安全终端连接器
- 命令提示符窗口
使用的组件集
本文档不限于软件和硬件版本。本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
问题
- 由于sfc.exe进程崩溃,Cisco安全终端应用程序可以进入禁用或断开连接状态,这可能与Windows意外关闭或任何其它活动有关。
- Windows激活在AeDebug注册表值中配置的调试工具。在这种情况下,任何程序都可以提前选择用作工具。选定的程序称为事后调试程序。
解决方案
从sysinternals套件下载Procdump作为(AeDebug)事后调试器。
在c驱动器中提取Procdump并为崩溃转储集合创建转储文件夹,如下所示:
将Procdump设置为AeDebugger:
操作方法:
- 以Administrator身份启动CMD。
- 切换到解压缩过程转储工具的目录。
- 命令示例:procdump64.exe -ma <PID | Process Name> 或procdump64.exe -ma -i C:\Dumps
sfc.exe示例:
procdump64.exe -accepteula -ma -e -x c:\install %ProgramFiles%\Cisco\AMP\8.2.3.30119\sfc.exe
它将crashdump保存在Dumps文件夹中,如下所示。收集并共享它进行分析:
要卸载procdump,请使用:procdump64.exe -u
注意:故障转储可能会占用磁盘上的大量空间,并且收集完成后可以停止转储。
不过,也可以使用替代方法压缩文件夹的大小:
1 — 导航到转储文件夹的属性,然后检查磁盘上文件夹的原始大小(如下所示):
2 — 导航到Advanced选项并启用压缩并应用,这需要几分钟的时间:
3 — 最后,您可以看到文件夹大小减少到原始大小的近一半,如下所示:
4 — 也可以在命令提示符下使用此命令来实现相同目的:
compact /c /s:c:\install
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
24-Mar-2025
|
初始版本 |
反馈