본문 바로가기
Windows

[Windows Server] System Error - BugCheck (이벤트 ID 1001)

by DANEW 2024. 11. 9.

System Error

SQL Server 이관을 위해 새로운 서버를 새팅하게 되었다.

여러 우여곡절이 있었지만 잘 마무리하여 Log Shipping 까지 구성하였는데 Slave 서버가 3일에 한 번 정도 리붓이 되는 문제를 확인하게 되었다. 

 

무슨 이유에서 리붓이 되는가?

심각한 마음으로 찾아보던 중 이벤트 뷰어에 시스템 로그에서 아래와 같은 메시지들을 찾을 수 있었다.

 

이벤트 뷰어 시스템 메시지

각 타이밍 별로 총 3가지 메시지가 발생하였다.

EventLog (이벤트 ID : 6008) 

Kernel-Power (이벤트 ID : 41)

BugCheck (이벤트 ID : 1001)

 

EventLog 이벤트 6008

‎2024-‎11-‎06의 오후 4:21:33에서 이전에 예기치 않은 시스템 종료가 있었습니다.

 

라는 로그성 기록만 덜렁 있는 메시지이다. 이 메지지로는 무언가 확인하기는 어려웠다.

 

Kernel-Power 이벤트 41

시스템이 비정상적으로 종료된 후 다시 부팅되었습니다. 이 오류는 시스템이 응답을 멈추었거나 손상되었거나 예기치 않게 전원 공급이 중단되면 발생할 수 있습니다.

 

제일 직관적으로 알아보기 쉬운 메시지였다. 전력 공급이 중단되었다라는 말이 있는데, 파워에 문제가있나? 전력선에 문제가 있나 고민하게 되었다.

인터넷을 찾아봐도 비슷한 말이 많았었는데, 우리는 이 문제는 아닌 것 같다.

시스템 관리자분에게 문의해보니, 물리적 서버의 리붓이 된 로그는 확인되지 않는다고 하더라. OS의 문제로 판단하고 다음 문제를 다시 찾아나섰다.

BugCheck 이벤트 1001

컴퓨터가 오류 검사 후 다시 부팅되었습니다. 오류 검사: 0x00000133 (0x0000000000000001, 0x0000000000001e00, 0xfffff802801e9380, 0x0000000000000000). 덤프 저장 위치: C:\Windows\MEMORY.DMP. 보고서 ID: b2375-57-4-a29-73f4c90

 

무언가 로그성 데이터 파일이 남아있는 것만 같은 메시지라서 희망을 가져보았다

덤프파일이라니 어떤 내용이 적혀있을지 문제의 힌트를 얻고 싶었는데,

해당 파일을 찾아보니....감히 건들 수 없는 파일이었다.

14GB라니, 열어보고싶었는데 우선은 제일 후순위로 미뤄두게 되었다.

 

이리 저리 검색하던 중 0x00000133 에 대해 검색하다보니, C:\Windows\Minidump 라는 경로에 DMP파일이 또 생긴다는 것을 알고 확인해보았다.

 

당장에 확인 하였을 때는 아무 파일도 없는 빈 폴더였으나, 마침 또 리붓이 발생하였고 새로운 DMP파일이 생성되어있었다.

우선 혹시나 또 없어질까봐 Local PC로 옮겨놓고 해당파일을 열어보았다.

기본적으로 바이너리 파일로 되어있어서 열어 볼 수 없으며, WinDBG라는 디버깅 툴을 다운받아 열어 볼 수 있다.

 

WinDbg 설치 - Windows drivers

Windows 디버거 및 WinDbg 설치에 대한 개요는 여기에서 시작합니다.

learn.microsoft.com

다운받은 WinDBG를 실행 후 DMP 파일을 열어 보도록 하였다.

DMP파일을 읽어가며 디버깅이 진행되며, 메시지들이 아래와 같이 나온다.

 

!analyze -v

분석 링크를 누르면 하단에 DMP파일을 분석하여 여러 메시지들이나온다.

 

문제가 되는 PROCESS_NAME, MODULE_NAME 등을 확인하여, 특정 프로세스와 드라이버가 충돌 나서 발생된다는 사실을 알게 되었다.

 

해당 드라이버를 우선 삭제하여 문제 발생을 주시하고있고, 기술지원을 요청해둔 상태이다.

반응형