Служба Windows Error Reporting и очистка каталога WER\ReportQueue в Windows

Служба WER (Windows Error Reporting) служит для сбора и отправки отладочной информации о падении системных и сторонних приложений в Windows на сервера Microsoft. По задумке Microsoft, эта информация должна анализироваться и при наличии решения, вариант исправления проблемы должен отправляется пользователю через Windows Error Reporting Response. Но по факту мало кто пользуется этим функционалом, хотя Microsoft настойчиво оставляет службу сбора ошибок WER включенной по умолчанию во всех последних версиях Windows. В большинстве случае о службе WER вспоминают, когда каталог C:\ProgramData\Microsoft\Windows\WER\ReportQueue\ начинает занимать на системном диске довольно много места (вплоть до нескольких десятков Гб), даже не смотря на то что на этом каталоге по умолчанию включена NTFS компрессия.

Служба Windows Error Reporting

Служба Windows Error Reporting представляет собой отдельный сервис Windows, который можно легко отключить командой:

net stop WerSvc

Внутри каталога WER\ReportQueue\ содержится множество каталогов, с именами в формате:

• Critical_6.3.9600.18384__00000000_cab_3222bf78
• Critical_powershell.exe__cab_271e13c0
• Critical_sqlservr.exe___cab_b3a19651
• NonCritical_7.9.9600.18235___0bfcb07a
• AppCrash_cmd.exe__bda769bf_37d3b403

Как вы видите, имя каталога содержит степень критичности события и имя конкретного exe файла, который завершился аварийно. Во всех каталогах обязательно имеется файл Report.wer, который содержит описание ошибок и несколько файлов с дополнительной информацией.

Очистка папки WER\ReportQueue в Windows

Как правило, размер каждой папки незначителен, но в некоторых случаях для проблемного процесса генерируется дамп памяти, который занимает довольно много места. На скриншоте ниже видно, что размер файла дампа memory.hdmp составляет около 610 Мб. Парочка таким дампов – и на диске исчезло несколько свободных гигибайт.

Чтобы очистить все эти ошибки и журналы штатными средствами, откройте панель управления и перейдите в раздел ControlPanel -> System and Security -> Action Center -> Maintenance -> View reliability history -> View all problem reports и нажмите на кнопку Clear all problem reports.

Для быстрого освобождения места на диске от файлов отладки, сгенерированных службой WER, содержимое следующих каталогов можно безболезненно удалить и руками.

Отключение Window Error Reporting в Windows Server 2012 R2 / 2008 R2

Отключить запись информации об ошибках Windows Error Reporting в серверных редакция Windows можно следующим образом:

• Windows Server 2012 / R2 – Панель Управления -> System and Security -> Action Center -> раздел Maintenance -> Settings -> выберите опцию I don’t want to participate, and don’t ask me again
• Windows Server 2008 R2 – откройте консоль Server Manager и промотайте список, перейдя в раздел Resources and Support. Нажмите на Turn Off Windows Error Reporting и выберите пункт I don’t want to participate, and don’t ask me again.

Отключение функции сбора и отправки отчетов в Windows 10

В Windows 10 возможность отключить Error Reporting через GUI отсутствует. Проверить статус компонента можно в панели управления Система и безопасность ->Центр безопасности и обслуживания -> секция Обслуживание. Как вы видите, по умолчанию параметр Поиск решения для указанных в отчетах проблем включен (Control Panel -> System and Security -> Security and Maintenance -> Maintenance -> Check for solutions to problem reports).

Отключить Windows Error Reporting в Windows 10 можно через реестр. Для этого в ветке HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting нужно создать новый параметр типа DWORD (32 бита) с именем Disabled и значением 1.

Теперь еще раз проверим статус параметра Поиск решения для указанных в отчетах проблем в панели управления. Его статус должен изменится на Отключено.

Отключение Windows Error Reporting через групповые политики

Ведение журналов службой Windows Error Reporting можно отключить и через групповую политику. Она находится в разделе Computer Configuration/Administrative Templates/Windows Components/Windows Error Reporting (Компоненты Windows -> Отчеты об ошибках Windows). Для отключения сбора и отправки данных включите политику Disable Windows Error Reporting (Отключить отчеты об ошибках Windows).

В результате сообщения об ошибках приложений в Windows перестанут формироваться и автоматически отправляться в Microsoft.

Как активировать функцию Windows Error Reporting в Windows 8.

Всякий раз, когда система падает, используя дамп файла . DMP, мы можем легко проанализировать,что вызвало падение системы.Это особенно полезно, чтобы найти проблему в сторонних модулей и является причиной этой проблемы или нет. Таким образом, используя анализ дампа,могут быть решены ошибки и сбои.Функция Windows Error Reporting (WER) ,была введена в Windows Vista,и работает для сбора пользовательского режима сбора ошибок.

Но эта услуга не включена по умолчанию в ОС Windows 8 и трюк с реестром может заставить работать эту функцию, чтобы привести её в действие.

Активировать Windows Error Reporting Service

В этой статье я покажу вам, как включить эту службу отчета об ошибках Windows с тем, что бы Вы могли легко собрать дамп файла в папке внутри Проводника. Обратите внимание и на то, что в том числе и приложения, которые делают свои собственные пользовательские отчеты об аварии . NET приложений, которые не поддерживаются этой функцией.

Использование редактора реестра для сбора User Mode

Так как функция отчёт об ошибках Windows не включена по умолчанию, вы можете использовать следующий трюк параметра реестра , чтобы запустить его:

1.Нажмите комбинацию клавиш Windows Key+R,в диалоговом окне в Run введите тип Regedt32.exe и нажмите Enter,чтобы открыть Редактор реестра .

. 2 Перейдите к этой записи :

HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Windows Error Reporting \ LocalDumps

3.На правой панели, вы можете создавать различные значения данных для настройки WER. Вот различные данные, которые вы можете создавать здесь:

. DumpFolder — (Создание: с помощью правой кнопкой мыши -> New -> Расширяемый строковый параметр)

Эта строка значения обрабатывает место для сбора данных о сбоях системы в папке. Вы можете дважды щелкнуть над созданной строкой для изменения её значения данных. Данные по умолчанию должны быть LOCALAPPDATA%% \ CrashDumps . Чтобы найти файлы, хранящие отчёт после аварии, нажмите Windows Key + R ,введите тип % LOCALAPPDATA% \ CrashDumps и получите дамп файлов.

б. DumpCount — <Создание: с помощью правой кнопкой мыши -> New -> DWORD (32 бита) >

Созданный DWORD заботится о том, сколько файлов дампа должны храниться по месту нахождения созданного ранее в шаге 1. По умолчанию это число равно 10 . Поскольку количество файлов превышает 10 , наиболее старые файлы будут удалены, а новые файлы получат своё место.

C. DumpType — <Создание: с помощью правой кнопкой мыши -> New -> DWORD (32 бита)>

Этот DWORD может быть настроен, чтобы получить файл дампа в качестве пользовательского отчёта;мини отчёта;полного дампа по вашему требованию.Используйте соответственно Value Data 0 , 1 , 2.Таким образом, в этом случае вы можете хранить файлы дампа для сбоев системы. Если вы ищете для хранения файлов дампа для конкретного применения,то вам необходимо создать подраздел для ключа LocalDumps :

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Windows Error Reporting \ LocalDumps

Например, если вы хотите хранить файлы дампа для ImageReady , компонентов Adobe Photoshop,вы можете назвать подраздел как ImageReady.exe . Подразделы могут быть расположены как:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ Windows Error Reporting \ LocalDumps \ ImageReady.exe.

То вы можете выполнять шаг 3 для настройки,и ввести нужный вам тип данных,которые будут храниться в этом подразделе.Пожалуйста, обратите внимание,что параметры подраздела т.е. ImageReady.exe отменяют настройки основных ключей т.е. LocalDumps.

[share-locker locker_id=»3f8a01b2edcbb8f0f» theme=»blue» message=»Если Вам понравилась эта статья,нажмите на одну из кнопок ниже.СПАСИБО!» facebook=»true» likeurl=»CURRENT» vk=»true» vkurl=»CURRENT» google=»true» googleurl=»CURRENT» tweet=»true» tweettext=»» tweeturl=»CURRENT» follow=»true» linkedin=»true» linkedinurl=»CURRENT» ][/share-locker]

WER Settings

Windows Error Reporting (WER) provides many settings to customize the problem reporting experience. All of these settings can be set using Group Policy. Some can also be changed in Action Center for WindowsВ 7 and WindowsВ 8. For Windows 10, use the search function in Settings to locate View advanced system settings. WER settings are located in one of the following registry subkeys:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\Windows Error Reporting
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Windows Error Reporting

Windows Error Reporting subkey

BypassDataThrottling

REG_DWORD

0 — Disable data bypass throttling. If the bypass is disabled or not configured as a policy setting, WER throttles data by default. WER does not upload more than one CAB file for a report that contains data about the same event types.

1 — Enable data bypass throttling. WER does not throttle data. WER uploads additional CAB files that can contain data about the same event types as an earlier uploaded report.

Whether to enable the bypass of WER client data throttling

ConfigureArchive

REG_DWORD

Possible values: 1 — Parameters only (default on WindowsВ 7) 2 — All data (default on WindowsВ Vista)

Whether to archive parameters only or all data

Consent\DefaultConsent

REG_DWORD

Possible values: 1 — Always ask (default) 2 — Parameters only 3 — Parameters and safe data 4 — All data

Default consent choice

Consent\DefaultOverrideBehavior

REG_DWORD

Possible values: 0 — Vertical consent will override the default consent (default) 1 — Default consent will override the application-specific consent

Whether default consent overrides vertical consent

Consent\[VerticalName]

REG_DWORD

Possible values: 1 — Always ask (default) 2 — Parameters only 3 — Parameters and safe data 4 — All data

Consent choice for the WER plug-in

CorporateWERDirectory

REG_SZ

The directory path

Target directory on the server

CorporateWERPortNumber

REG_DWORD

The port number

Port number to be used with the corporate server

CorporateWERServer

REG_SZ

The name of the server

Corporate server name

CorporateWERUseAuthentication

REG_DWORD

Possible values: 0 — No (default) 1 — Yes

Whether to use Windows Integrated Authentication

CorporateWERUseSSL

REG_DWORD

Possible values: 0 — No (default) 1 — Yes

Whether to use SSL

DebugApplications\[ExeName] (replace «[ExeName]» with an actual name of an .exe file, for example, «notepad.exe»)

REG_DWORD

0 — Processes with an executable image name of **\[ExeName\]** do not require the user to choose **Debug** or **Continue** (default) 1 — Processes with an executable image name of **\[ExeName\]** require the user to choose **Debug** or **Continue**

DebugApplications\* («*» is the literal value name)

REG_DWORD

0 — All processes except ones specified explicitly in the setting **DebugApplications\\\[ExeName\]** do not require the user to choose **Debug** or **Continue** (default) 1 — All processes except ones specified explicitly in the setting **DebugApplications\\\[ExeName\]** require the user to choose **Debug** or **Continue**

DisableArchive

REG_DWORD

Possible values: 0 — Enabled 1 — Disabled

Enable or disable the archive

Disabled

REG_DWORD

Possible values: 0 — Enabled (default) 1 — Disabled

Enable or disable WER

DisableQueue

REG_DWORD

Possible values: 0 — Enabled 1 — Disabled

Enable or disable report queuing

DontShowUI

REG_DWORD

Possible values: 0 — UI (default) 1 — No UI

Enable or disable the WER UI

DontSendAdditionalData

REG_DWORD

Possible values: 0 — Send (default) 1 — Do not send

Whether to prevent sending second-level data

ExcludedApplications\[Application Name]

REG_SZ

List of excluded applications

ForceQueue

REG_DWORD

Possible values: 0 — No (default) 1 — Yes

Whether to send all reports to the user’s queue

LocalDumps\DumpFolder or LocalDumps\[Application Name]\DumpFolder

REG_EXPAND_SZ

The directory path. The default value is %LOCALAPPDATA%\CrashDumps. If the default is not used, the application must ensure that the folder has a sufficient ACL.

WindowsВ Vista: The registry values under the LocalDumps key are not supported. Note that this behavior changed with Windows ServerВ 2008 and WindowsВ Vista with Service PackВ 1 (SP1).

The path where the dump files are to be stored.

Note that per-process settings will override any global settings that exist For more information, see Collecting User-Mode Dumps.

This setting is not supported in the HKEY_CURRENT_USER registry hive.

LocalDumps\DumpCount or LocalDumps\[Application Name]\DumpCount

REG_DWORD

The maximum number. The default is 10. When the maximum value is exceeded, the oldest dump file in the folder will be replaced with the new dump file.

WindowsВ Vista: The registry values under the LocalDumps key are not supported. Note that this behavior changed with Windows ServerВ 2008 and WindowsВ Vista with SP1.

The maximum number of dump files in the folder.

This setting is not supported in the HKEY_CURRENT_USER registry hive.

LocalDumps\DumpType or LocalDumps\[Application Name]\DumpType

REG_DWORD

Possible values: 0 — Custom dump 1 — Minidump (default) 2 — Full dump

WindowsВ Vista: The registry values under the LocalDumps key are not supported. Note that this behavior changed with Windows ServerВ 2008 and WindowsВ Vista with SP1.

This setting is not supported in the HKEY_CURRENT_USER registry hive.

LocalDumps\CustomDumpFlags or LocalDumps\[Application Name]\CustomDumpFlags

REG_DWORD

WindowsВ Vista: The registry values under the LocalDumps key are not supported. Note that this behavior changed with Windows ServerВ 2008 and WindowsВ Vista with SP1.

The custom dump options to be used. This value is used only when DumpType is set to 0.

This setting is not supported in the HKEY_CURRENT_USER registry hive.

LoggingDisabled

REG_DWORD

Possible values: 0–Enabled (default) 1–Disabled

Enable or disable logging

MaxArchiveCount

REG_DWORD

Range of possible values: 1–5000. The default is 1000.

Maximum size of the archive, in files

MaxQueueCount

REG_DWORD

Range of possible values: 1–500. The default is 50.

Maximum size of the queue

QueuePesterInterval

REG_DWORD

Interval between reminders to the user to check for solutions, in days

RuntimeExceptionHelperModules![ pwszOutOfProcessCallbackDll name including path]

REG_DWORD

The contents of the value are ignored.

The name of the value is used to fetch the pwszOutOfProcessCallbackDll value.

Windows ServerВ 2008, WindowsВ Vista, Windows ServerВ 2003 and WindowsВ XP: This registry value is not supported.

WER Live Kernel Reports Settings

WER’s Live Kernel Reports settings, which are described next, are both located under the following registry subkey:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

FullLiveKernelReports subkey

ComponentThrottleThreshold

REG_DWORD

The threshold (in hours) of how often any single component can create a full live dump. This value must be greater than or equal to SystemThrottleThreshold. Setting both to zero (0) will disable all time-based throttling. The default is 168 (7 days).

FullLiveReportsMax

REG_DWORD

The maximum number of full live dumps that may be on disk at any given time. The default is 1. Setting this value to zero (0) will disable the live dump feature.

LastFullLiveReport

REG_QWORD

A SystemTime indicating the last full live report time, for the system or a specific ReportType. This is used to calculate whether a policy threshold has been satisfied.

SystemThrottleThreshold

REG_DWORD

The threshold (in hours) of how often any component on the system can create a full live dump. The default is 120 (5 days).

LiveKernelReports subkey

LiveKernelReportsPath

REG_SZ

The redirected storage location of live kernel reports. The default location is %systemroot%\LiveKernelReports. This value must be a valid path. The path must be in NT path format. For example, ??\C:\LiveDumpsFolder. For more information on path formats, see File path formats on Windows systems.