Служба Windows Error Reporting (WER) служит для сбора и отправки отладочной информации о падении системных и сторонних приложений в Windows на сервера Microsoft. По задумке Microsoft, эта информация должна анализироваться и при наличии решения, вариант исправления проблемы должен отправляется пользователю через Windows Error Reporting Response. Но по факту мало кто пользуется этим функционалом, хотя Microsoft настойчиво оставляет службу сбора ошибок WER включенной по умолчанию во всех последних версиях Windows. В большинстве случае о службе WER вспоминают, когда каталог C:\ProgramData\Microsoft\Windows\WER\ReportQueue\ начинает занимать много места на системном диске (вплоть до нескольких десятков Гб), даже не смотря на то что на этом каталоге по умолчанию включена NTFS компрессия.
Содержание:
- Служба Windows Error Reporting
- Очистка папки WER\ReportQueue в Windows
- Отключение Window Error Reporting в Windows Server
- Отключаем сбор и отправки отчетов об ошибках в Windows 10
- Отключение Windows Error Reporting через GPO
Служба Windows Error Reporting
Служба Windows Error Reporting при появлении ошибки показывает диалоговое окно, предлагающее отправить отчет об ошибке в корпорацию Microsoft. Когда в Windows вы видите сообщение об ошибке
YourApp has stop working
, в это время в служба Windows Error Reporting запускает утилиту WerFault.exe для сбора отладочных данных (могут включать в себя дамп памяти).
Данные пользователя сохраняются в профиль пользователя:
%USERPROFILE%\AppData\Local\Microsoft\Windows\wer
Системные данные – в системный каталог:
%ALLUSERSPROFILE%\Microsoft\Windows\WER\
Служба Windows Error Reporting представляет собой отдельный сервис Windows. Вы можете проверить состояние службы командой PowerShell:
Get-Service WerSvc
Внутри каталога WER\ReportQueue\ содержится множество каталогов, с именами в формате:
- Critical_6.3.9600.18384_{ID}_00000000_cab_3222bf78
- Critical_powershell.exe_{ID}_cab_271e13c0
- Critical_sqlservr.exe__{ID}_cab_b3a19651
- NonCritical_7.9.9600.18235__{ID}_0bfcb07a
- AppCrash_cmd.exe_{ID}_bda769bf_37d3b403
Как вы видите, имя каталога содержит степень критичности события и имя конкретного exe файла, который завершился аварийно. Во всех каталогах обязательно имеется файл Report.wer, который содержит описание ошибок и несколько файлов с дополнительной информацией.
Очистка папки WER\ReportQueue в Windows
Как правило, размер каждой папки в WER незначителен, но в некоторых случаях для проблемного процесса генерируется дамп памяти, который занимает довольно много места. На скриншоте ниже видно, что размер файла дампа memory.hdmp составляет около 610 Мб. Парочка таким дампов – и на диске исчезло несколько свободных гигибайт.
Чтобы очистить все эти ошибки и журналы штатными средствами, откройте панель управления и перейдите в раздел ControlPanel -> System and Security -> Security and Maintenance -> Maintenance -> View reliability history -> View all problem reports (Control Panel\System and Security\Security and Maintenance\Problem Reports) и нажмите на кнопку Clear all problem reports.
Для быстрого освобождения места на диске от файлов отладки, сгенерированных службой WER, содержимое следующих каталогов можно безболезненно очистить вручную.
- C:\ProgramData\Microsoft\Windows\WER\ReportArchive\
- C:\ProgramData\Microsoft\Windows\WER\ReportQueue\
Следующие команды PowerShell удалят из каталога каталогов WER все файлы, старше 15 дней:
Get-ChildItem -Path 'C:\ProgramData\Microsoft\Windows\WER\ReportArchive' -Recurse | Where-Object CreationTime -lt (Get-Date).AddDays(-15) | Remove-Item -force -Recurse
Get-ChildItem -Path 'C:\ProgramData\Microsoft\Windows\WER\ReportQueue' -Recurse | Where-Object CreationTime -lt (Get-Date).AddDays(-15) | Remove-Item -force –Recurse
Для очистки каталогов WER в пользовательских профилях используйте такой скрипт:
$users = Get-ChildItem c:\users|where{$_.name -notmatch 'Public|default'}
foreach ($user in $users){
Get-ChildItem "C:\Users\$User\AppData\Local\Microsoft\Windows\WER\ " –Recurse -ErrorAction SilentlyContinue | Remove-Item –force –Recurse
}
Отключение Window Error Reporting в Windows Server
В Windows Server 2019/2016/2012R2 вы можете управлять состоянием WER с помощью PowerShell. Вы можете отключить службу Windows Error Reporting:
Get-Service WerSvc| stop-service –passthru -force
Set-Service WerSvc –startuptype manual –passthru
Но есть более корректные способы отключения WER в Windows. В версии PowerShell 4.0 добавлен отдельный модуль WindowsErrorReporting из трех командлетов:
Get-Command -Module WindowsErrorReporting
Проверить состояние службы Windows Error Reporting можно командой:
Get-WindowsErrorReporting
Для отключения WER, выполните:
Disable-WindowsErrorReporting
В Windows Server 2012 R2 можно отключить запись информации об ошибках Windows Error Reporting через панель управления (Control Panel -> System and Security -> Action Center -> раздел Maintenance -> Settings -> выберите опцию I don’t want to participate, and don’t ask me again
Отключаем сбор и отправки отчетов об ошибках в Windows 10
В Windows 10 нельзя отключить Error Reporting через панель управления. В графическогм интерфейсе можно только проверить ее статус (Система и безопасность ->Центр безопасности и обслуживания -> секция Обслуживание). Как вы видите, по умолчанию параметр Поиск решения для указанных в отчетах проблем включен (Control Panel -> System and Security -> Security and Maintenance -> Maintenance -> Report problems = On).
HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting нужно создать новый параметр типа DWORD (32 бита) с именем Disabled и значением 1.
Можно отключить сбор ошибок WER для конкретных пользователей:
reg add "HKCU\Software\Microsoft\Windows\Windows Error Reporting" /v "Disabled" /t REG_DWORD /d "1" /f
Или отключить WER для всех:
reg add "HKLM\Software\Microsoft\Windows\Windows Error Reporting" /v "Disabled" /t REG_DWORD /d "1" /f
Измените параметр реестра и проверьте статус параметра Поиск решения для указанных в отчетах проблем в панели управления. Его статус должен изменится на Отключено.
Отключение Windows Error Reporting через GPO
Также вы можете управлять настройками службы Windows Error Reporting через групповые политики.
Запустите редактор локальной (
gpedit.msc
) или доменной GPO (
gpmc.msc
) и перейдите в ветку реестра Computer Configuration -> Administrative Templates -> Windows Components -> Windows Error Reporting (Компоненты Windows -> Отчеты об ошибках Windows). Для отключения сбора и отправки ошибок через WER включите политику Disable Windows Error Reporting (Отключить отчеты об ошибках Windows).
Аналогичная политика есть в пользовательском разделе политик (User Configuration).
Обновите GPO (перезагрузка не потребуется).
В результате в Windows перестанут формироваться сообщения об ошибках Windows и отправляться в Microsoft.
Когда в работе какой-то программы происходит ошибка, Windows автоматически регистрирует это событие и запускает штатную утилиту Windows Error Reporting, которая формирует отчет и предлагает отправить его на сервера Microsoft. Отправка лога не осуществляется автоматически, более того, большинство пользователей предпочитают не делиться информацией о программных ошибках и были бы не прочь отключить эту функцию вообще.
В Windows 7 и 8.1 это можно сделать через графический интерфейс системы, если же вы хотите отключить Windows Error Reporting в Windows 10, нужно отредактировать один ключ в реестре или изменить значение соответствующей ему политики в редакторе gpedit.msc. Существует и универсальный способ, одинаково подходящий для всех версий Windows, но о нём будет сказано ниже.
Отключение Error Reporting в Windows 7 и 8.1
Откройте через окошко «Выполнить» ( Win + R ) Центр поддержки командой wscui.cpl апплет «Центр поддержки».
Нажмите в меню справа ссылку «Параметры центра поддержки».
На следующей странице нажмите ссылку «Параметры отчета о неполадках».
И активируйте радиокнопку «Не проверять на наличие новых решений».
Сохраните настройки.
Отключение Error Reporting в Windows 10
В Windows 10 опция «Параметры отчета о неполадках» была удалена из окна параметров центра поддержки, поэтому для отключения формирования отчетов о программных ошибках в этой версии системы придется действовать в обход.
Откройте через окошко «Выполнить» одноименной командой редактор реестра Regedit и раскройте ключ:
HKLM\SOFTWARE\MicrosoftWindows\Windows Error Reporting
Справа создайте новый DWORD-параметр.
Назовите его Disabled и задайте в качестве его значения единицу.
Сохраните настройки, закройте редактор реестра и перезагрузите компьютер.
Описание примера отключения функции Error Reporting через редактор групповых политик мы опускаем, поскольку его результат является эквивалентным применяемому твику реестра, к тому же редактор gpedit.msc доступен не всех редакциях Windows.
Универсальный способ отключения Error Reporting
Предложенный ниже способ является универсальным и одинаково работает в Windows 7, 8.1 и Windows 10.
Вызовите окошко «Выполнить» и выполните в нём команду services.msc, чтобы открыть оснастку управления службами.
Отыщите справа службу «Служба регистрации ошибок Windows», откройте ее свойства и выставьте параметры так, как показано на скриншоте после чего сохраните настройки.
Любители командной строки могут отключить ее через консоль.
Запустив командную строку или PowerShell от имени администратора и выполните в ней команду:
sc config wersvc start=disabled
А затем:
gpupdate /force
Чтобы обновить политику без перезагрузки компьютера.
***
Что такое Windows Error Reporting
Когда в возникают проблемы с оборудованием или программами (например, аппаратное или программное перестаёт работать или работает некорректно), Windows создает отчёт о проблеме, который предназначен для отправки в Microsoft (чтобы отыскать решение проблемы).
Начиная с операционной системы , на смену «инструменту анализа сбоев или аварий» Dr. Watson пришла Windows Error Reporting (WER) – Служба регистрации ошибок Windows (другие названия – Отчеты о проблемах и их решениях, Отчеты о проблемах и решения).
Служба регистрации ошибок Windows представлена следующими файлами (все расположены в каталоге \Windows\System32\):
– wer.dll (Библиотека сообщений об ошибках Windows);
– wercon.exe (Отчеты о проблемах и их решениях);
– wercplsupport.dll (Отчеты о проблемах и их решениях);
– werdiagcontroller.dll (WER Diagnostic Controller);
– WerFault.exe (Отчет об ошибках Windows);
– WerFaultSecure.exe (Отчеты об ошибках Windows);
– wermgr.exe (Windows Problem Reporting);
– wersvc.dll (Служба регистрации ошибок Windows);
– wertargets.wtl.
Когда происходит сбой какого-либо процесса (программы), служба Windows Error Reporting запускает – в сеансе ошибочного процесса – свою (WerFault.exe),
передавая идентификатор (PID) процесса в командную строку WerFault:
При этом отображается окно Microsoft Windows с сообщением об ошибке – «Прекращена работа <Название_программы>. При следующем подключении к Интернету Windows может провести поиск способа устранения этой ошибки»:
При нажатии на кнопку Показать подробности проблемы можно ознакомиться с сигнатурой проблемы:
Сигнатуры проблем сохраняются в отчётах об ошибках, которые хранятся в каталоге \Users\Master\AppData\Local\Microsoft\Windows\WER\ReportArchive\, каждый отчет – в отдельной папке Report******** (например, Report0a003e48), в файле Report.wer.
Примерное содержимое файла Report.wer:
Version=1
EventType=APPCRASH
EventTime=129234418886148269
ReportType=2
Consent=1
Response.type=4
Sig[0].Name=Имя приложения
Sig[0].Value=iexplore.exe
Sig[1].Name=Версия приложения
Sig[1].Value=8.0.6001.18928
Sig[2].Name=Штамп времени приложения
Sig[2].Value=4bdfa327
Sig[3].Name=Имя модуля с ошибкой
Sig[3].Value=mshtml.dll
Sig[4].Name=Версия модуля с ошибкой
Sig[4].Value=8.0.6001.18928
Sig[5].Name=Штамп времени модуля с ошибкой
Sig[5].Value=4bdfb76d
Sig[6].Name=Код исключения
Sig[6].Value=c0000005
Sig[7].Name=Смещение исключения
Sig[7].Value=000da33f
DynamicSig[1].Name=Версия ОС
DynamicSig[1].Value=6.0.6002.2.2.0.768.3
DynamicSig[2].Name=Код языка
DynamicSig[2].Value=1049
DynamicSig[22].Name=Дополнительные сведения 1
DynamicSig[22].Value=fd00
DynamicSig[23].Name=Дополнительные сведения 2
DynamicSig[23].Value=ea6f5fe8924aaa756324d57f87834160
DynamicSig[24].Name=Дополнительные сведения 3
DynamicSig[24].Value=fd00
DynamicSig[25].Name=Дополнительные сведения 4
DynamicSig[25].Value=ea6f5fe8924aaa756324d57f87834160
UI[2]=C:\Program Files\Internet Explorer\iexplore.exe
UI[3]=Прекращена работа Internet Explorer
UI[4]=Windows может провести поиск способа устранения этой ошибки в Интернете.
UI[5]=Искать решение проблемы в Интернете и закрыть программу
UI[6]=Проверить наличие способа исправления ошибки в Интернете позднее и закрыть программу
UI[7]=Закрыть программу
FriendlyEventName=Остановка работы
ConsentKey=APPCRASH
AppName=Internet Explorer
AppPath=C:\Program Files\Internet Explorer\iexplore.exe
***
Как запустить службу Отчеты о проблемах и их решениях
Нажмите Пуск –> Панель управления –> Отчеты о проблемах и их решениях;
– в окне Отчеты о проблемах и их решениях в меню Задачи доступны следующие опции:
· Искать новые решения (необходимо открытое соединение с Интернетом);
· Показать проверяемые проблемы (прокручиваемый список проблем, для которых требуется найти решение);
· Показать журнал проблем (проблемы, обнаруженные Windows);
· Изменить параметры (выбор способа проверки на наличие решений в случае неполадок – Автоматически выполнять поиск решений или Запрашивать проверку на возможные проблемы);
· Очистить журнал проблем и их решений (очистка журнала проблем для освобождения дискового пространства).
***
Честно говоря, автору статьи ни разу не удалось решить проблемы Windows с помощью Службы регистрации ошибок (да и статус вдохновляет на самостоятельный поиск решений таких проблем!). Значимость этой службы мне видится в том, что она помогает самостоятельно.
Сидоров
***
•
•
•
•
•
•
The Windows Error Reporting Service (WerSvc) reports errors when programs stop working or responding, and it enables existing solutions to be delivered. It also generates logs for the Problem Reports and Solutions diagnostic and repair service. If this service is stopped, programs and services that rely on this service will not report errors correctly, and the results of diagnostic services and repairs for those programs and services will not be displayed.
Windows Error Reporting is a feature that allows Microsoft to track and address errors that are related to the operating system, Windows features, and applications. Windows Error Reporting gives users the opportunity to send data about errors to Microsoft and to receive information about solutions. Solution information can include instructions for working around an issue, or a link to the Windows Update website or another website for updated drivers, patches, or Microsoft Knowledge Base articles. Developers at Microsoft can use Windows Error Reporting as a problem-solving tool to address customer issues in a timely manner and to improve the quality of Microsoft products.
Windows Error Reporting has «consent levels» that an administrator can configure to control how Windows Error Reporting sends data to Microsoft. These settings are configured on the Problem Reporting settings page of the Action Center Control Panel. These settings can also be configured through Group Policy under Computer Configuration or User Configuration in Administrative Templates\Windows Components\Windows Error Reporting\Consent.
User Account Control affects how Windows Error Reporting works. A standard user does not have the same ability to report errors as an administrator. If a prompt appears when a user is logged on as an administrator, the user can choose to report application and operating system errors. If a prompt appears for a user who is not logged on as an administrator, the user can choose to report application errors plus errors for operating system software that does not require administrative credentials to run.
The administrator also has the option to specify a list of programs for which error reports should never be sent.
This service is installed by default and its startup type is Manual. When the Windows Error Reporting service is started in its default configuration, it logs on by using the Local System account.
This service is not dependent on any other system service, nor is any service dependent on it.
Related content
Allows errors to be reported when programs stop working or responding and allows existing solutions to be delivered. Also allows logs to be generated for diagnostic and repair services. If this service is stopped, error reporting might not work correctly and results of diagnostic services and repairs might not be displayed.
Default Settings
| Startup type: | Manual |
| Display name: | Windows Error Reporting Service |
| Service name: | WerSvc |
| Service type: | own |
| Error control: | ignore |
| Object: | localSystem |
| Path: | %SystemRoot%\System32\svchost.exe -k WerSvcGroup |
| File: | %SystemRoot%\System32\WerSvc.dll |
| Registry key: | HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WerSvc |
| Privileges: |
|
Default Behavior
Windows Error Reporting Service is a Win32 service. In Windows 10 it is starting only if the user, an application or another service starts it. When the Windows Error Reporting Service is started, it is running as localSystem in its own process of svchost.exe. If Windows Error Reporting Service fails to load or initialize, Windows 10 start up proceeds without warnings. However the error details are being logged.
Restore Default Startup Configuration of Windows Error Reporting Service
1. Run the Command Prompt as an administrator.
2. Copy the command below, paste it into the command window and press ENTER:
sc config WerSvc start= demand
3. Close the command window and restart the computer.
The WerSvc service is using the WerSvc.dll file that is located in the C:\Windows\System32 directory. If the file is removed or corrupted, read this article to restore its original version from Windows 10 installation media.