メモリ ダンプ後にブルー スクリーン情報を収集する

概要

ここでは、ブルー スクリーンのエラー メッセージの詳細情報を収集する手順をいくつか説明しています。必ずしもこの手順ですべての問題が解決されるわけではなく、ほかの原因による現象の場合もあります。

イベント ログ メッセージ

  • バグチェック情報付きのイベント ログ メッセージを書き込むように、システムをセットアップする。


    Windows NT Server 4.0 は、デフォルトでイベント ログ メッセージを書き込むように設定されています。Windows NT Workstation は、デフォルトでは書き込むようには設定されていません。イベント ログ メッセージを書き込むようにシステムを設定するには、[システムのプロパティ] にある [起動/シャットダウン] タブの [回復] セクションにある [システム ログにイベントを書き込む] チェック ボックスをオンにします。これにより、イベント ログ メッセージがシステム ログに書き込まれるようになります。
  • イベント ログ メッセージに含まれるデータ


    イベント ログの説明と形式は、コンピュータが Memory.dmp ファイルを書き込む際に表示される形式によって異なりますが、情報の大部分は同じです。下記は、イベント ログの例です。


    イベント ID : 1001
    ソース : Save Dump
    説明 :
    The computer has rebooted from a bugcheck. The bugcheck was :
    0xc000021a (0xe1270188, 0x00000001, 0x00000000, 0x00000000).
    Microsoft Windows NT (v15.1381). A dump was saved in:
    C:\WINNT\MEMORY.DMP.

    この情報には、STOP コード 0xc000021a と 4 つのパラメータが含まれます。これらは、特定の種類の STOP コードのトラブルシューティングの際に非常に便利です。パラメータは、STOP コードの種類によって意味が異なります。パラメータの意味については、Microsoft Knowledge Base で STOP コードを検索してください。Microsoft Knowledge Base で、すべての STOP コードが網羅されているわけではありません。

Dumpchk.exe を使用してメモリ ダンプ情報を特定する

Service Pack 3 の CD にある Dumpchk.exe を使用して、STOP メッセージを生成したドライバのアドレス同様、上記の情報のすべてを特定できます。多くの場合、この情報からトラブルシューティングの方向性を決定できます。Dumpchk.exe を実行する前に、必ずコマンド プロンプトのプロパティを調整して、画面のバッファ サイズの高さを 999 に設定してください。この高さにしておくことで、スクロール バックして出力を表示することができます。次の文法に従って、コマンド プロンプトから Dumpchk.exe を実行します。


dumpchk.exe Memory.dmp

下記は、もっとも有用な出力の一部の例です。


MachineImageType i386
NumberProcessors 1
BugCheckCode 0xc000021a
BugCheckParameter1 0xe1270188
BugCheckParameter2 0x00000001
BugCheckParameter3 0x00000000
BugCheckParameter4 0x00000000

ExceptionCode 0x80000003
ExceptionFlags 0x00000001
ExceptionAddress 0x8014fb84

前述のように、どのセクションにも同一の情報が含まれているわけではなく、STOP コードの種類によって異なります。上記の例からは、例外 (0x8014fb84) をコールしたドライバのアドレス以外に、STOP コード (0xc000021a) と、そのパラメータ (0xe1270188、0x00000001、0x00000000、0x00000000) が判別できます。リソースキットに含まれている Pstat.exe の出力を使用してドライバ名の判別する場合に、このアドレスを使用できます。


Dumpchk.exe は、ダンプが有効かどうかの検証にも使用できます。

Pstat.exe を使用して、ドライバ情報を特定する

リソース キットのユーティリティの Pstat.exe を使用すると、システムで実行中のプロセスとドライバをグラフィカルに表示できます。ここで最も有用な情報は、出力の最後に表示される読み込み済みのドライバのリストになります。これを行うには、コマンド ラインから Pstat.exe を実行するだけです。次の文法に従って Pstat.exe を実行すると、Pstat.exe で得られる情報をパイプでファイルに出力できます。


pstat.exe > ファイル名

次は、出力の最後に表示されるドライバのリストの例です。


ModuleName Load Addr Code Data Paged LinkDate
----------------------------------------------------------------------
ntoskrnl.exe 80100000 270272 40064 434816 Sun May 11 00:10:39 1997
hal.dll 80010000 20384 2720 9344 Mon Mar 10 16:39:20 1997
aic78xx.sys 80001000 20512 2272 0 Sat Apr 05 21:16:21 1997
SCSIPORT.SYS 801d7000 9824 32 15552 Mon Mar 10 16:42:27 1997
Disk.sys 80008000 3328 0 7072 Thu Apr 24 22:27:46 1997
CLASS2.SYS 8000c000 7040 0 1632 Thu Apr 24 22:23:43 1997
INO_FLPY.SYS 801df000 9152 1472 2080 Tue May 26 18:21:40 1998
Ntfs.sys 801e3000 68160 5408 269632 Thu Apr 17 22:02:31 1997
Floppy.SYS f7290000 1088 672 7968 Wed Jul 17 00:31:09 1996
Cdrom.SYS f72a0000 12608 32 3072 Wed Jul 17 00:31:29 1996
Cdaudio.SYS f72b8000 960 0 14912 Mon Mar 17 18:21:15 1997
Null.SYS f75c9000 0 0 288 Wed Jul 17 00:31:21 1996
KSecDD.SYS f7464000 1280 224 3456 Wed Jul 17 20:34:19 1996
Beep.SYS f75ca000 1184 0 0 Wed Apr 23 15:19:43 1997
cs32ba11.SYS fcd1a000 52384 45344 14592 Wed Mar 12 17:22:33 1997
msi8042.SYS f7000000 20192 1536 0 Mon Mar 23 22:46:22 1998
mouclass.sys f7470000 1984 0 0 Mon Mar 10 16:43:11 1997
kbdclass.sys f7478000 1952 0 0 Wed Jul 17 00:31:16 1996
VIDEOPRT.SYS f72d8000 2080 128 11296 Mon Mar 10 16:41:37 1997
ati.sys f7010000 960 9824 48768 Fri Dec 12 15:20:37 1997
vga.sys f7488000 128 32 10784 Wed Jul 17 00:30:37 1996
Msfs.SYS f7308000 864 32 15328 Mon Mar 10 16:45:01 1997
Npfs.SYS f7020000 6560 192 22624 Mon Mar 10 16:44:48 1997
NDIS.SYS fccda000 11744 704 96768 Thu Apr 17 22:19:45 1997
win32k.sys a0000000 1162624 40064 0 Fri Apr 25 21:17:32 1997
ati.dll fccba000 106176 17024 0 Fri Dec 12 15:20:08 1997
Cdfs.SYS f7050000 5088 608 45984 Mon Mar 10 16:57:04 1997
INO_FLTR.SYS fc42f000 29120 38176 1888 Tue Jun 02 16:33:05 1998
TDI.SYS fc4a2000 4480 96 288 Wed Jul 17 00:39:08 1996
tcpip.sys fc40b000 108128 7008 10176 Fri May 09 17:02:39 1997
netbt.sys fc3ee000 79808 1216 23872 Sat Apr 26 21:00:42 1997
el90x.sys f7320000 24576 1536 0 Wed Jun 26 20:04:31 1996
afd.sys f70d0000 1696 928 48672 Thu Apr 10 15:09:17 1997
netbios.sys f7280000 13280 224 10720 Mon Mar 10 16:56:01 1997
Parport.SYS f7460000 3424 32 0 Wed Jul 17 00:31:23 1996
Parallel.SYS f746c000 7904 32 0 Wed Jul 17 00:31:23 1996
ParVdm.SYS f7552000 1312 32 0 Wed Jul 17 00:31:25 1996
Serial.SYS f7120000 2560 0 18784 Mon Mar 10 16:44:11 1997
rdr.sys fc385000 13472 1984 219104 Wed Mar 26 14:22:36 1997
mup.sys fc374000 2208 6752 48864 Mon Mar 10 16:57:09 1997
srv.sys fc24a000 42848 7488 163680 Fri Apr 25 13:59:31 1997
PSCRIPT.DLL f9ec3000 0 0 0
Fastfat.SYS f9e00000 6720 672 114368 Mon Apr 21 16:50:22 1997
NTDLL.DLL 77f60000 237568 20480 0 Fri Apr 11 16:38:50 1997
----------------------------------------------------------------------
Total 2377632 255040 1696384

上記の「load addr」列の下の開始アドレスを使用すると、例外アドレスとドライバ名のマッチングが行えます。8014fb84 を例にとると、Ntoskrnl.exe が、例外アドレスの下の最も近くに読み込まれており、例外をコールしたドライバである可能性が高いことがわかります。この情報があれば、Microsoft Knowledge Base で、遭遇した状況に合致する既知の問題を検索できます。

詳細

関連情報については、Microsoft Knowledge Base の以下の資料を参照してください。
129845 Blue Screen Preparation Before Contacting Microsoft

詳細

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID
192463 (最終更新日 2000-10-18) をもとに作成したものです。


プロパティ

文書番号:192463 - 最終更新日: 2011/05/17 - リビジョン: 1

フィードバック