ID d'événement Windows 12289 – Kernel-General : Mise à jour du compteur de performance du gestionnaire de mémoire

Commencez par examiner les détails spécifiques de l'ID d'événement 12289 pour comprendre le contexte de l'opération mémoire :

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Système
3. Filtrez pour l'ID d'événement 12289 en cliquant avec le bouton droit sur le journal Système et en sélectionnant Filtrer le journal actuel
4. Dans la boîte de dialogue de filtrage, entrez 12289 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur les entrées récentes de l'ID d'événement 12289 pour voir des informations détaillées
6. Notez les modèles de timestamp et la fréquence d'occurrence
7. Vérifiez l'onglet Détails pour des valeurs spécifiques de compteurs mémoire et des types d'opérations

Cherchez des corrélations entre ces événements et les périodes de forte utilisation de la mémoire ou les activités spécifiques des applications.

Utilisez PowerShell pour corréler l'ID d'événement 12289 avec les métriques de performance de la mémoire actuelle :

# Obtenez les entrées récentes de l'ID d'événement 12289
Get-WinEvent -FilterHashtable @{LogName='System'; Id=12289} -MaxEvents 20 | 
    Select-Object TimeCreated, Id, LevelDisplayName, Message

# Vérifiez l'utilisation actuelle de la mémoire
Get-Counter "\Memory\Available MBytes", "\Memory\Committed Bytes", "\Memory\Pool Nonpaged Bytes" -SampleInterval 5 -MaxSamples 12

# Surveillez les modèles d'allocation de mémoire
Get-Process | Sort-Object WorkingSet -Descending | Select-Object -First 10 Name, WorkingSet, VirtualMemorySize

# Vérifiez les indicateurs de pression de la mémoire
Get-WmiObject -Class Win32_PerfRawData_PerfOS_Memory | 
    Select-Object AvailableBytes, CommittedBytes, PoolNonpagedBytes

Exécutez ces commandes pendant les périodes où l'ID d'événement 12289 se produit fréquemment pour identifier les modèles d'utilisation de la mémoire et les corrélations potentielles avec des processus spécifiques ou des activités système.

Examinez les paramètres de configuration du gestionnaire de mémoire qui pourraient influencer la fréquence de mise à jour des compteurs de performance :

1. Ouvrez l'Éditeur du Registre en appuyant sur Win + R, en tapant regedit, et en appuyant sur Entrée
2. Accédez à HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management
3. Vérifiez les valeurs suivantes :
   • LargeSystemCache - Contrôle le comportement du cache système
   • SystemPages - Affecte les entrées de la table des pages système
   • PoolUsageMaximum - Contrôle les limites de mémoire du pool
4. Documentez les valeurs actuelles avant de faire des modifications
5. Pour la surveillance des performances, vérifiez : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib
6. Vérifiez que les entrées de registre des compteurs de performance sont intactes et non corrompues

Utilisez PowerShell pour interroger ces paramètres en toute sécurité :

Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" | 
    Select-Object LargeSystemCache, SystemPages, PoolUsageMaximum

Configurez une surveillance complète de la mémoire pour comprendre les modèles de l'ID d'événement 12289 et le comportement du système :

1. Activez la journalisation avancée de la mémoire en créant une session de suivi des événements personnalisée pour Windows (ETW) :

# Créer une session ETW pour les événements de mémoire
logman create trace MemoryTrace -p Microsoft-Windows-Kernel-Memory -o C:\Logs\memory.etl -ets

# Exécuter pendant une période pour collecter des données, puis arrêter
logman stop MemoryTrace -ets

# Analyser le fichier de trace
Get-WinEvent -Path C:\Logs\memory.etl -Oldest | 
    Where-Object {$_.Id -eq 12289} | 
    Select-Object TimeCreated, Message

2. Configurez le Moniteur de performance (PerfMon) pour un suivi continu de la mémoire :
3. Ouvrez Moniteur de performance depuis les Outils d'administration
4. Créez un nouvel ensemble de collecteurs de données avec ces compteurs :
   • Memory\Available MBytes
   • Memory\Committed Bytes
   • Memory\Pool Nonpaged Bytes
   • Process(_Total)\Working Set
5. Définissez l'intervalle de collecte à 15 secondes et exécutez pendant les occurrences de l'ID d'événement 12289
6. Corrélez les données de performance avec les horodatages des événements pour identifier les déclencheurs

Si l'ID d'événement 12289 se produit de manière excessive ou est corrélé à des problèmes de performance, effectuez un dépannage avancé :

1. Exécutez le diagnostic de la mémoire pour vérifier les problèmes matériels :

# Planifier le diagnostic de la mémoire pour le prochain redémarrage
mdsched.exe

2. Vérifiez les fuites de mémoire à l'aide de Application Verifier ou DebugDiag :
3. Téléchargez et installez les outils de débogage pour Windows
4. Exécutez DebugDiag pour surveiller l'utilisation de la mémoire du processus au fil du temps
5. Analysez les fichiers de vidage de mémoire si des plantages système se produisent

3. Vérifiez l'intégrité des fichiers système :

# Vérifier les fichiers système
sfc /scannow

# Vérifier l'état de l'image Windows
Dism /Online /Cleanup-Image /CheckHealth
Dism /Online /Cleanup-Image /ScanHealth

4. Examinez la compatibilité des pilotes, en particulier pour les pilotes liés à la mémoire :

# Vérifier les problèmes de pilotes
Get-WmiObject Win32_SystemDriver | Where-Object {$_.State -eq "Stopped"} | 
    Select-Object Name, DisplayName, PathName

5. Envisagez de mettre à jour le BIOS du système et de vérifier les problèmes de firmware pouvant affecter la gestion de la mémoire
6. Si les problèmes persistent, collectez un vidage de mémoire complet pour l'analyse du support Microsoft