ID d'événement Windows 27 – Erreur d'application : Détection de suspension d'application

Commencez par examiner les entrées spécifiques de l'ID d'événement 27 pour identifier les modèles et les applications affectées :

1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
2. Accédez à Journaux Windows → Application
3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
4. Entrez 27 dans le champ ID d'événements et cliquez sur OK
5. Examinez les entrées récentes de l'ID d'événement 27, en notant les noms des applications, les ID de processus et les horodatages
6. Double-cliquez sur les événements individuels pour voir des informations détaillées, y compris les ID de thread et la durée de blocage
7. Cherchez des modèles tels que des applications spécifiques se bloquant de manière répétée ou des blocages se produisant à des moments particuliers

Utilisez PowerShell pour interroger les entrées de l'ID d'événement 27 de manière programmatique :

Get-WinEvent -FilterHashtable @{LogName='Application'; Id=27} -MaxEvents 50 | Select-Object TimeCreated, Id, LevelDisplayName, Message | Format-Table -Wrap

Exportez les événements de blocage pour une analyse plus approfondie :

Get-WinEvent -FilterHashtable @{LogName='Application'; Id=27} | Export-Csv -Path "C:\temp\hang_events.csv" -NoTypeInformation

Enquêter sur les contraintes de ressources système qui peuvent contribuer aux blocages d'application :

1. Ouvrez Gestionnaire des tâches en appuyant sur Ctrl + Maj + Échap
2. Cliquez sur l'onglet Performance pour surveiller l'utilisation du CPU, de la mémoire, du disque et du réseau
3. Passez à l'onglet Processus et triez par utilisation du CPU ou de la mémoire pour identifier les applications gourmandes en ressources
4. Activez le Moniteur de ressources en cliquant sur Ouvrir le Moniteur de ressources en bas de l'onglet Performance
5. Dans le Moniteur de ressources, examinez les onglets CPU, Mémoire, Disque et Réseau pour détecter les goulots d'étranglement
6. Cherchez les processus avec un nombre élevé de poignées, des défauts de page excessifs ou des opérations d'E/S bloquées

Utilisez PowerShell pour collecter des données de performance lors des événements de blocage :

# Surveiller les processus consommant le plus de CPU
Get-Process | Sort-Object CPU -Descending | Select-Object -First 10 Name, CPU, WorkingSet, Handles

# Vérifier l'utilisation de la mémoire
Get-WmiObject -Class Win32_OperatingSystem | Select-Object TotalVisibleMemorySize, FreePhysicalMemory, @{Name="MemoryUsage%";Expression={[math]::Round((($_.TotalVisibleMemorySize - $_.FreePhysicalMemory) / $_.TotalVisibleMemorySize) * 100, 2)}}

Configurer des compteurs de performance pour suivre la réactivité des applications :

# Créer un ensemble de collecteurs de données de compteur de performance
logman create counter "AppHangMonitor" -f csv -o "C:\temp\apphang.csv" -c "\Process(*)\% Processor Time" "\Process(*)\Working Set" "\Process(*)\Handle Count" -si 5

Ajustez les paramètres de détection de blocage de Windows et activez le rapport détaillé :

1. Ouvrez l'Éditeur du Registre en appuyant sur Win + R, en tapant regedit, et en appuyant sur Entrée
2. Accédez à HKEY_CURRENT_USER\Control Panel\Desktop
3. Localisez ou créez les valeurs DWORD suivantes pour configurer la détection de blocage :
• HungAppTimeout - Réglez sur 5000 (5 secondes) ou ajustez selon les besoins
• WaitToKillAppTimeout - Réglez sur 20000 (20 secondes) pour une terminaison en douceur
• AutoEndTasks - Réglez sur 1 pour terminer automatiquement les applications bloquées
4. Accédez à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting
5. Créez ou modifiez le DWORD DontShowUI et réglez sur 0 pour afficher les boîtes de dialogue de rapport d'erreur
6. Activez le rapport d'erreurs Windows pour une analyse détaillée des blocages en réglant le DWORD Disabled sur 0

Configurez le rapport de blocage via PowerShell :

# Définir les délais de détection de blocage
Set-ItemProperty -Path "HKCU:\Control Panel\Desktop" -Name "HungAppTimeout" -Value 5000 -Type DWord
Set-ItemProperty -Path "HKCU:\Control Panel\Desktop" -Name "WaitToKillAppTimeout" -Value 20000 -Type DWord

# Activer le rapport d'erreurs Windows
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\Windows Error Reporting" -Name "Disabled" -Value 0 -Type DWord

Enquêter sur les facteurs spécifiques à l'application pouvant causer des conditions de blocage :

1. Identifier les applications spécifiques générant l'ID d'événement 27 à partir de votre analyse de l'Observateur d'événements
2. Vérifier les mises à jour disponibles en visitant le site Web du fournisseur de logiciels ou en utilisant les mécanismes de mise à jour intégrés
3. Vérifier la compatibilité de l'application avec votre version de Windows en utilisant le Résolveur de problèmes de compatibilité des programmes
4. Cliquez avec le bouton droit sur l'exécutable de l'application problématique et sélectionnez Propriétés → Compatibilité
5. Essayer d'exécuter l'application en mode de compatibilité pour une version antérieure de Windows
6. Désactiver les thèmes visuels, la composition du bureau ou les paramètres DPI élevés si applicable
7. Vérifier les logiciels conflictuels, en particulier les programmes antivirus, qui peuvent interférer avec l'exécution de l'application

Utiliser PowerShell pour analyser les dépendances de l'application :

# Obtenir des informations détaillées sur un processus spécifique
$processName = "notepad"  # Remplacez par votre application
Get-Process $processName | Select-Object Name, Id, StartTime, CPU, WorkingSet, Modules

# Vérifier les modules chargés pour un processus
$process = Get-Process $processName
$process.Modules | Select-Object ModuleName, FileName, FileVersionInfo | Format-Table -AutoSize

Analyser les journaux d'événements de l'application pour un contexte supplémentaire :

# Rechercher des événements spécifiques à l'application
$appName = "YourApplication"  # Remplacez par le nom réel de l'application
Get-WinEvent -FilterHashtable @{LogName='Application'; ProviderName="*$appName*"} -MaxEvents 20 | Select-Object TimeCreated, Id, LevelDisplayName, Message

Capturez des informations de diagnostic détaillées lorsque les applications se bloquent pour l'analyse des causes profondes :

1. Téléchargez et installez ProcDump depuis Microsoft Sysinternals
2. Ouvrez une invite de commande avec élévation de privilèges et accédez au répertoire d'installation de ProcDump
3. Configurez ProcDump pour capturer automatiquement les dumps lorsque les applications se bloquent :

procdump -h -ma -w notepad.exe C:\dumps\

Le drapeau -h capture les dumps lors d'un blocage, -ma crée des dumps de mémoire complets, et -w attend le démarrage du processus.

4. Pour les processus en cours qui sont actuellement bloqués, capturez un dump manuel :

procdump -ma [ProcessID] C:\dumps\

Utilisez PowerShell pour automatiser la collecte de dumps basée sur l'ID d'événement 27 :

# Surveillez l'ID d'événement 27 et déclenchez la collecte de dumps
$action = {
    $event = $Event.SourceEventArgs.NewEvent
    $processName = ($event.Message -split ' ')[0]  # Extraire le nom du processus du message
    $dumpPath = "C:\dumps\$processName-$(Get-Date -Format 'yyyyMMdd-HHmmss').dmp"
    Start-Process -FilePath "procdump.exe" -ArgumentList "-ma", $processName, $dumpPath -Wait
}

Register-WmiEvent -Query "SELECT * FROM __InstanceCreationEvent WITHIN 5 WHERE TargetInstance ISA 'Win32_NTLogEvent' AND TargetInstance.EventCode = 27" -Action $action

Analysez les fichiers de dump à l'aide des outils de débogage Windows :

# Installez le SDK Windows pour les outils de débogage
# Ouvrez WinDbg et chargez le fichier de dump
# Utilisez des commandes comme !analyze -v, ~*kb, et !locks pour enquêter sur les causes des blocages