Событие 100 не всегда создаётся


 

В Windows 7 есть два интересных события с номерами 100 и 200 в журнале Microsoft-Windows-Diagnostics-Performance/Operational. Первое создаётся при загрузке системы и показывает время загрузки, а второе создаётся при выключении системы и показывает время выключения.

Оказывается событие 100 на некоторых машинах генерируется не всегда. Есть даже обсуждение на форуме по этой проблеме Missing boot events on the Diagnostic performance operational log (event-id 100), но отмеченное решение в нём неверное.

В этом обсуждении есть ссылка на описание алгоритма формирования события, которое опубликовано сотрудником Microsoft. Согласно этому алгоритму событие 100 должно формироваться всегда.

Тем не менее существуют ситуации, когда событие 100 не формируется. На некоторых машинах это происходит очень часто.

Ниже скриншот журнала с фильтром по событиям 100 и 200 для компьютера, на котором есть обсуждаемая проблема. Видно, что последнее событие 100 создано 18 числа.

 

Если же посмотреть журнал System с фильтром по событиям 6005 и 6006 (запуск и останов службы EventLog соответствует запуску и останову системы), то увидим, что после 18 числа были перезагрузки 23 числа! Почему же нет события 100?

 

Давайте посмотрим журнал System с фильтром по событиям 41 и 42:

Событие 41 от 23 числа красноречиво говорит о том, что предыдущее выключение системы завершилось аварийно. Вот истинная причина того, что событие 100 не формируется при последующей загрузке.

Теперь логика проблемы понятна. Внутренние механизмы работы ОС мы, конечно, не знаем, но, скорее всего, ОС при аварийном выключении не успевает выставить какие-то флаги, загрузка идет несколько иначе и, скорее всего, статистика не собирается (или просто не выводится).

Если проанализировать цепочку событий рассматриваемого компьютера, то можно увидеть, что обычная перезагрузка всегда сопровождается созданием событий 100 и 200 – всё как положено. При засыпании-просыпании компьютера этих событий никогда нет, что логично. При внезапном пропадании электропитания уже очевидно, что событий не будет. А вот при штатном выключении рассматриваемого компьютера проблема всегда присутствует.

Управление электропитанием в ОС работает одинаково на всех компьютерах. Поэтому корень проблемы в BIOS: компьютер отключается раньше, чем ОС завершает работу.

Лечение стандартное и без всяких гарантий: если есть новая версия BIOS, то нужно его перепрошить; можно ещё изменить в BIOS параметры управления электропитания (например, с S5 на S1/S3 ).

Есть ещё один момент: проблему выключения может спровоцировать «кривой» драйвер. Лечение – замена драйвера на новую версию. Найти проблемный драйвер можно анализом дампа, либо отключением устройств, либо просто обновляя драйверы основных устройств: видео, сеть, Wi-Fi и т.д.

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s

%d такие блоггеры, как: