» Как доказать что было зависание системы?

Помогите - как доказать (где посмотреть) что было зависание машины?

На работе ситуация (авария), говорят что всему виною зависшая машина. А как это доказать? Вдруг сами накосячили, машину грузанули, а теперь доказывают что она висела ... Мне надо точно понять - висела она или нет.

В логах факт перезагрузки машины имеется, а вот по какой причине - не ясно.

Операционная система (хостовая) - Windows 7 х64, под ней установлен Windows Virtual PC (Windows XP Mode) и стоит собственно Windows XP.

Что и где можно глянуть? Может в системе какие "счетчики" есть или еще - чтобы показывало что вот тут система была еще жива, а тут пробел - значит система бездействовала?

zzzolegzzz
Можно глянуть наличие события 6008 в журнале событий: Предыдущее завершение работы системы было неожиданным.

VV2015

Цитата:

Можно глянуть наличие события 6008 в журнале событий: Предыдущее завершение работы системы было неожиданным.

Это ровным счётом ничего не прояснит - то же самое будет во всех случаях внезапного пропадания питания (например, выдернули шнур), нажатия кнопки Reset, зависания намертво из-за глюка железа.

zzzolegzzz
ИМХО, в такой ситуации (когда факт перезагрузки есть и его никто не отрицает), доказать конкретную причину перезагрузки (умышленно или нет) нельзя.
Например, факт внезапного пропадания питания (в отличие от простого Reset-а или зависания из-за глюка железа) можно было бы определить по увеличению аттрибута 192 Power-off retract count в SMARTе HDD. Но для этого нужно знать его предыдущее значение (думаю, Вы за ним не следили).
Так что, это скорее всего "глухарь".

zzzolegzzz
возможно в системе писались аварийные дампы, если не отключено

Цитата:

возможно в системе писались аварийные дампы, если не отключено

Где это можно посмотреть?

Добавлено:
freedaw

Цитата:

Так что, это скорее всего "глухарь".

Возможно. Но ведь в системе полно всяких журналов (точнее log-файлов) - куда что-то постоянно пишется. Но я не знаю какие конкретно смотреть. Может есть гуру которые знают?

И еще вопрос, а на будущее как можно сделать тайный мониторинг этого? Например по заданию каждую минуту (чтоб не грузить систему) делать запись в какой-нибудь файл (штампа времени достаточно). Если система мёртво висела - то и записей никаких не будет ... Но надо это как-то наверняка, чтоб однозначно был вариант только зависания. Выключение можно и через журнал событий отследить.

Цитата:

Где это можно посмотреть?

zzzolegzzz
C:\Windows\MiniDump

Process Monitir

zzzolegzzz

Цитата:

Но ведь в системе полно всяких журналов (точнее log-файлов) - куда что-то постоянно пишется.

Такого, чтобы прям постоянно писалось нету - записываются какие-то определённые события (например, запуск или остановка служб, ошибки приложений и т.п.).


Цитата:

C:\Windows\MiniDump

Минидамп пишется при синем экране BSOD, когда обнаруживается критическая программная ошибка в ядре и ОС не знает, как её исправить. Чтобы избежать дальнейших ошибок и предотвратить возможную потерю или порчу данных специально прекращается выполнение всех текущих задач и выполняется аварийная подпрограмма записи дампа памяти (она же и выводит на экран BSOD). Всё это возможно только при обязательном условии - само железо компьютера должно продолжать функционировать нормально, т.е. процессор способен получать/выполнять команды и вести обмен данными с ОЗУ и HDD.
При мёртвом зависании системы, как правило, это обязательное условие нарушается, т.е. процессор не способен получать/выполнять команды и вести обмен данными с ОЗУ и HDD и остальной периферией. Поэтому, с этого момента нет ни логов, ни минидампа, ни BSODа, ни реакции на клавиатуру и мышь, ни дисковой активности - ничего, полный фриз. Всё содержимое ОЗУ остаётся, т.к. регенерация продолжает работать, и мы видим замершую картинку и слышим зацикленный звук (воспроизводимый звуковой картой из буфера). Причина этого в критическом нарушении режима работы какого-либо важного узла железа (контроллера, памяти, процессора) и компьютер превращается просто в кусок железа (точнее фоторамку).