C programdata microsoft windows wer reportarchive

Служба Windows Error Reporting (WER) служит для сбора и отправки отладочной информации о падении системных и сторонних приложений в Windows на сервера Microsoft. По задумке Microsoft, эта информация должна анализироваться и при наличии решения, вариант исправления проблемы должен отправляется пользователю через Windows Error Reporting Response. Но по факту мало кто пользуется этим функционалом, хотя Microsoft настойчиво оставляет службу сбора ошибок WER включенной по умолчанию во всех последних версиях Windows. В большинстве случае о службе WER вспоминают, когда каталог C:\ProgramData\Microsoft\Windows\WER\ReportQueue\ начинает занимать много места на системном диске (вплоть до нескольких десятков Гб), даже не смотря на то что на этом каталоге по умолчанию включена NTFS компрессия.

Служба Windows Error Reporting

Служба Windows Error Reporting при появлении ошибки показывает диалоговое окно, предлагающее отправить отчет об ошибке в корпорацию Microsoft. Когда в Windows вы видите сообщение об ошибке
YourApp has stop working
, в это время в служба Windows Error Reporting запускает утилиту WerFault.exe для сбора отладочных данных (могут включать в себя дамп памяти).

Данные пользователя сохраняются в профиль пользователя:

%USERPROFILE%\AppData\Local\Microsoft\Windows\wer

Системные данные – в системный каталог:

%ALLUSERSPROFILE%\Microsoft\Windows\WER\

Служба Windows Error Reporting представляет собой отдельный сервис Windows. Вы можете проверить состояние службы командой PowerShell:

Get-Service WerSvc

Внутри каталога WER\ReportQueue\ содержится множество каталогов, с именами в формате:

• Critical_6.3.9600.18384_{ID}_00000000_cab_3222bf78
• Critical_powershell.exe_{ID}_cab_271e13c0
• Critical_sqlservr.exe__{ID}_cab_b3a19651
• NonCritical_7.9.9600.18235__{ID}_0bfcb07a
• AppCrash_cmd.exe_{ID}_bda769bf_37d3b403

Как вы видите, имя каталога содержит степень критичности события и имя конкретного exe файла, который завершился аварийно. Во всех каталогах обязательно имеется файл Report.wer, который содержит описание ошибок и несколько файлов с дополнительной информацией.

Очистка папки WER\ReportQueue в Windows

Как правило, размер каждой папки в WER незначителен, но в некоторых случаях для проблемного процесса генерируется дамп памяти, который занимает довольно много места. На скриншоте ниже видно, что размер файла дампа memory.hdmp составляет около 610 Мб. Парочка таким дампов – и на диске исчезло несколько свободных гигибайт.

Чтобы очистить все эти ошибки и журналы штатными средствами, откройте панель управления и перейдите в раздел ControlPanel -> System and Security -> Security and Maintenance -> Maintenance -> View reliability history -> View all problem reports (Control Panel\System and Security\Security and Maintenance\Problem Reports) и нажмите на кнопку Clear all problem reports.

Для быстрого освобождения места на диске от файлов отладки, сгенерированных службой WER, содержимое следующих каталогов можно безболезненно очистить вручную.

• C:\ProgramData\Microsoft\Windows\WER\ReportArchive\
• C:\ProgramData\Microsoft\Windows\WER\ReportQueue\

Следующие команды PowerShell удалят из каталога каталогов WER все файлы, старше 15 дней:

Get-ChildItem -Path  'C:\ProgramData\Microsoft\Windows\WER\ReportArchive' -Recurse | Where-Object CreationTime -lt (Get-Date).AddDays(-15) | Remove-Item -force -Recurse
Get-ChildItem -Path  'C:\ProgramData\Microsoft\Windows\WER\ReportQueue' -Recurse | Where-Object CreationTime -lt (Get-Date).AddDays(-15) | Remove-Item -force –Recurse

Для очистки каталогов WER в пользовательских профилях используйте такой скрипт:

$users = Get-ChildItem c:\users|where{$_.name -notmatch 'Public|default'}
foreach ($user in $users){
Get-ChildItem "C:\Users\$User\AppData\Local\Microsoft\Windows\WER\ " –Recurse -ErrorAction SilentlyContinue | Remove-Item –force –Recurse
}

Отключение Window Error Reporting в Windows Server

В Windows Server 2019/2016/2012R2 вы можете управлять состоянием WER с помощью PowerShell. Вы можете отключить службу Windows Error Reporting:

Get-Service WerSvc| stop-service –passthru -force
Set-Service WerSvc –startuptype manual –passthru

Но есть более корректные способы отключения WER в Windows. В версии PowerShell 4.0 добавлен отдельный модуль WindowsErrorReporting из трех командлетов:

Get-Command -Module WindowsErrorReporting

Проверить состояние службы Windows Error Reporting можно командой:

Get-WindowsErrorReporting

Для отключения WER, выполните:

Disable-WindowsErrorReporting

В Windows Server 2012 R2 можно отключить запись информации об ошибках Windows Error Reporting через панель управления (Control Panel -> System and Security -> Action Center -> раздел Maintenance -> Settings -> выберите опцию I don’t want to participate, and don’t ask me again

Отключаем сбор и отправки отчетов об ошибках в Windows 10

В Windows 10 нельзя отключить Error Reporting через панель управления. В графическогм интерфейсе можно только проверить ее статус (Система и безопасность ->Центр безопасности и обслуживания -> секция Обслуживание). Как вы видите, по умолчанию параметр Поиск решения для указанных в отчетах проблем включен (Control Panel -> System and Security -> Security and Maintenance -> Maintenance -> Report problems = On).

HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting нужно создать новый параметр типа DWORD (32 бита) с именем Disabled и значением 1.

Можно отключить сбор ошибок WER для конкретных пользователей:

reg add "HKCU\Software\Microsoft\Windows\Windows Error Reporting" /v "Disabled" /t REG_DWORD /d "1" /f

Или отключить WER для всех:
reg add "HKLM\Software\Microsoft\Windows\Windows Error Reporting" /v "Disabled" /t REG_DWORD /d "1" /f

Измените параметр реестра и проверьте статус параметра Поиск решения для указанных в отчетах проблем в панели управления. Его статус должен изменится на Отключено.

Отключение Windows Error Reporting через GPO

Также вы можете управлять настройками службы Windows Error Reporting через групповые политики.

Запустите редактор локальной (
gpedit.msc
) или доменной GPO (
gpmc.msc
) и перейдите в ветку реестра Computer Configuration -> Administrative Templates -> Windows Components -> Windows Error Reporting (Компоненты Windows -> Отчеты об ошибках Windows). Для отключения сбора и отправки ошибок через WER включите политику Disable Windows Error Reporting (Отключить отчеты об ошибках Windows).

Аналогичная политика есть в пользовательском разделе политик (User Configuration).

Обновите GPO (перезагрузка не потребуется).

В результате в Windows перестанут формироваться сообщения об ошибках Windows и отправляться в Microsoft.

Служба WER (Windows Error Reporting) служит для сбора и отправки отладочной информации о падении системных и сторонних приложений в Windows на сервера Microsoft. По задумке Microsoft, эта информация должна анализироваться и при наличии решения, вариант исправления проблемы должен отправляется пользователю через Windows Error Reporting Response. Но по факту мало кто пользуется этим функционалом, хотя Microsoft настойчиво оставляет службу сбора ошибок WER включенной по умолчанию во всех последних версиях Windows. В большинстве случае о службе WER вспоминают, когда каталог C:\ProgramData\Microsoft\Windows\WER\ReportQueue\ начинает занимать на системном диске довольно много места (вплоть до нескольких десятков Гб).

Служба Windows Error Reporting

Служба Windows Error Reporting представляет собой отдельный сервис Windows, который можно легко отключить командой:

net stop WerSvc

Внутри каталога WER\ReportQueue\ содержится множество каталогов, с именами в формате:

• Critical_6.3.9600.18384_{ID}_00000000_cab_3222bf78
• Critical_powershell.exe_{ID}_cab_271e13c0
• Critical_sqlservr.exe__{ID}_cab_b3a19651
• NonCritical_7.9.9600.18235__{ID}_0bfcb07a
• AppCrash_cmd.exe_{ID}_bda769bf_37d3b403

Как вы видите, имя каталога содержит степень критичности события и имя конкретного exe файла, который завершился аварийно. Во всех каталогах обязательно имеется файл Report.wer, который содержит описание ошибок и несколько файлов с дополнительной информацией.

Очистка папки WER\ReportQueue в Windows

Как правило, размер каждой папки незначителен, но в некоторых случаях для проблемного процесса генерируется дамп памяти, который занимает довольно много места. На скриншоте ниже видно, что размер файла дампа memory.hdmp составляет около 610 Мб. Парочка таким дампов – и на диске исчезло несколько свободных гигибайт.

Чтобы очистить все эти ошибки и журналы штатными средствами, откройте панель управления и перейдите в раздел ControlPanel -> System and Security -> Action Center -> Maintenance -> View reliability history -> View all problem reports и нажмите на кнопку Clear all problem reports.

Для быстрого освобождения места на диске от файлов отладки, сгенерированных службой WER, содержимое следующих каталогов можно безболезненно удалить и руками.

• C:\ProgramData\Microsoft\Windows\WER\ReportArchive\
• C:\ProgramData\Microsoft\Windows\WER\ReportQueue\

Отключение Window Error Reporting в Windows Server 2012 R2 / 2008 R2

Отключить запись информации об ошибках Windows Error Reporting в серверных редакция Windows можно следующим образом:

Отключение функции сбора и отправки отчетов в Windows 10

В Windows 10 возможность отключить Error Reporting через GUI отсутствует. Проверить статус компонента можно в панели управления Система и безопасность ->Центр безопасности и обслуживания -> секция Обслуживание. Как вы видите, по умолчанию параметр Поиск решения для указанных в отчетах проблем включен (Control Panel -> System and Security -> Security and Maintenance -> Maintenance -> Check for solutions to problem reports).

Отключить Windows Error Reporting в Windows 10 можно через реестр. Для этого в ветке HKLM\SOFTWARE\Microsoft\Windows\Windows Error Reporting нужно создать новый параметр типа DWORD (32 бита) с именем Disabled и значением 1.

Теперь еще раз проверим статус параметра Поиск решения для указанных в отчетах проблем в панели управления. Его статус должен изменится на Отключено.

Отключение Windows Error Reporting через групповые политики

Ведение журналов службой Windows Error Reporting можно отключить и через групповую политику. Она находится в разделе Computer Configuration/Administrative Templates/Windows Components/Windows Error Reporting (Компоненты Windows -> Отчеты об ошибках Windows). Для отключения сбора и отправки данных включите политику Disable Windows Error Reporting (Отключить отчеты об ошибках Windows).

В результате сообщения об ошибках приложений в Windows перестанут формироваться и автоматически отправляться в Microsoft.

Windows 7 / Getting Started

The ReportArchive folder contains reports that have been uploaded or denied upload (via
policy or explicit user action). This folder is referred to as the Archive store. Reports that are
successfully submitted from the queue store(s) are automatically transferred to the archive store.

You also can create an Event Reporting Console (ERC) folder in the WER store folder(s). The
subfolders in the ERC folder store response metadata and templates used for displaying the
response data in the Problem Reports And Solutions Control Panel. You don’t need to modify
the data in the ERC folder, and modifying the data is not supported. The location of the
ReportArchive folder is either of the following:

• Users\<username>\AppData\Local\Microsoft\Windows\WER\ReportArchive (for reports
  in the user store)
• ProgramData\Microsoft\Windows\WER\ReportArchive (for reports in the computer store)

Queue Reporting

When a new error report is successfully submitted to any of the queues or directly to the
Watson back-end servers, WER enters Queue Reporting mode. In Queue Reporting mode,
WER will prompt you to send the queued report(s) if conditions permit. If conditions are not
optimal for reporting, WER schedules itself to be started when a network connection is established
(SENS) or when the current user logs on the next time (HKCU\Run). This ensures that at
some point in the future when conditions are right for reporting, infrastructure will be able to
show the queued reporting console.

In Queue Reporting mode, WER performs the following checks in the following order:

1. Is the failing process running in an interactive desktop? If not, WerMgr.exe terminates.
   This is necessary because WER dialog boxes should not be shown for noninteractive
   desktops, such as the ones that the service accounts own.
2. Does the current user have reports in her queue, or is the current user an administrator
   and is administrative queuing enabled? If neither of the conditions is true, the current
   user has no reports to report. In this case, WER will ensure that network and logon
   triggers for the current user are removed, and it will exit immediately. If either of the
   conditions is true, WER attempts to prompt you to report entries in the queue.
3. WER sets the network and logon triggers for the current user in case conditions are not
   optimal for reporting at this time.
4. WER checks network access to see if the last reporting time has expired. If either of
   these checks fails, WerMgr.exe terminates.
5. Open the Problem Reports And Solutions Control Panel to prompt you and update the
   last reporting time.

Store Maintenance

By default, the Queue Management System performs maintenance such as deleting stale
data and trimming the size of the queue on a report store whenever 50 saved reports are in
the store. When the total queued report count exceeds the number defined in the registry
value MaxQueueCount or the registry value MaxArchiveCount for archive stores, the queue
subsystem deletes the oldest .cab files from the queues in the following order until the size of
the queue reaches MaxQueueCount or no more CABs remain to delete:

• Archive Store
• Signoff Queue
• Upload Queue

The metadata for a report persists for one calendar year unless the user has disabled the
archive via the DisableArchive setting.

WER queue data retention policies can be configured using Group Policy. If no queuing
policies are configured, the Archive queue will retain 1,000 reports and the Upload/Signoff
queue will retain 50 reports. If a queue becomes full and a new report is created, the new
report will overwrite the oldest report in the respective queue.

Queue Triggers

This section describes the launch triggers that WER uses to ensure that the queued reporting
prompt is started for users when they have unsent reports in their queues. Triggers are
persistent across reboots.

WER launch triggers include:

• Network trigger This trigger starts WerMgr.exe in Queue Reporting mode for a
  specific user when a network connection is established. The network trigger is implemented
  through the SENS API that senses the presence of a network connection.
• Logon trigger This trigger starts WerMgr.exe in Queue Reporting mode for a
  specific user when the user logs on. WerMgr.exe is responsible for WER error queue management.
• Administrator trigger The administrator trigger notifies an administrator of unsent
  entries in the machine queue. This trigger occurs only for administrators on the system.

Aside from DMP (dump) and MDMP (mini-dump) files there are *.wer files that contain valuable information about why a certain app crashed

C:\ProgramData\Microsoft\Windows\WER\

1. Step Open the Windows explorer

2. Step Copy and paste this into the address bar C:\ProgramData\Microsoft\Windows\WER\

3. Step There will be two folders ReportArchive and ReportQueue

4. Step Open ReportArchive

5. Step If you recently crashed a few programs you will find a bunch of folders like AppCrash_DynUpSvc.exe
or AppHang_Everything.exe

Alright now we know where WER files are stored – let’s take a quick look at it

Here is the beginning of a AppHang WER dump of the program Everything.exe

Version=1
EventType=AppHangB1
EventTime=130157773680293929
ReportType=3
Consent=1
UploadTime=130157773697098912
ReportIdentifier=76907ef1-d5c1-11e2-bea1-485b3936d32b
IntegratorReportIdentifier=76907ef2-d5c1-11e2-bea1-485b3936d32b
WOW64=1
NsAppName=Everything.exe
Response.BucketId=14d330a5151758884db32ed616190d90
Response.BucketTable=5
Response.LegacyBucketId=-614153629
Response.type=4

Scroll down a little and you will find all LoadedModules (DLL’s) which is pretty handy if you ask me to check for certain conflicts. Also the exact ReportDescription and EventName will be listed

Handy for debugging purposes. Cheers, hope it helps

Change the Storage Path

1. Step Open the registry editor

2. Step Uncollapse HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Windows Error Reporting\LocalDumps\DumpFolder

3. Step Double-click StoreLocation

4. Step Enter a new valid Windows path

5. Step Done!