Process Monitor er et utmerket feilsøkingsverktøy fra Windows Sysinternals som viser filene og registernøklene som applikasjoner får tilgang til i sanntid. Resultatene kan lagres i en loggfil, som du kan sende den til en ekspert for å analysere et problem og feilsøke den.
Her er en guide for hvordan du fanger tilganger til register og filsystemer av applikasjoner, og genererer en loggfil ved hjelp av Process Monitor for videre analyse.
Bruk Process Monitor for å spore register- og filsystemendringer
Scenario: La oss anta at du ikke klarer å skrive til HOSTS- filen vellykket i Windows, og vil vite hva som skjer under panseret. Hvert trinn i den følgende artikkelen dreier seg om dette eksempelscenariet.
Trinn 1: Kjør prosessmonitor og konfigurering av filtre
- Last ned Process Monitor fra Windows Sysinternals nettsted.
- Pakk ut zip-filinnholdet til en mappe du ønsker.
- Kjør Process Monitor-applikasjonen
- Inkluder prosessene du vil spore aktiviteten på. For dette eksemplet vil du inkludere
Notepad.exe
i (Inkluder) -filtrene. - Klikk på Legg til, og klikk OK .
Tips: Du kan legge til flere oppføringer også, i tilfelle hvis du vil spore noen flere prosesser sammen medNotepad.exe
. For å holde dette eksemplet enklere, la oss bare sporeNotepad.exe
.(Du vil nå se Prosessmonitor hovedvindu som sporer listen over register- og filtilganger etter prosesser i sanntid, etter hvert som de oppstår.)
- Fra valgmenyen klikker du på Velg kolonner .
- Under “Hendelsesdetaljer” aktiverer du sekvensnummer og klikker OK .
Trinn 2: Fange hendelser
- Åpne Notisblokk.
- Bytt til Process Monitor-vinduet.
- Aktiver “Capture” -modus (hvis den ikke allerede er PÅ). Du kan se status for “Capture” -modus via prosessmonitorverktøylinjen.
Den uthevede knappen ovenfor er “Capture” -knappen, som er aktivert deaktivert. Du må klikke på den knappen (eller bruke Ctrl + E-tastesekvens) for å aktivere fange av hendelser. - Rens opp den eksisterende hendelseslisten ved å bruke Ctrl + X-tastesekvens (Viktig) og start på nytt
- Bytt nå til Notisblokk og prøv å gjengi problemet .
For å gjengi problemet (for dette eksempelet), prøv å skrive til HOSTS-filen (
C:\Windows\System32\Drivers\Etc\HOSTS
) og lagre den. Windows tilbyr å lagre filen (ved å vise Lagre som) -dialogen med et annet navn, eller på et annet sted .Så, hva skjer under panseret når du lagrer i HOSTS-filen? Process Monitor viser det nøyaktig.
- Bytt til Process Monitor-vinduet, og slå av Capturing (Ctrl + E) så snart du reproduserer problemet. Viktig merknad: Ikke bruk mye tid på å reprodusere problemet etter at du har aktivert fangst. Slå også av fotograferingen så snart du er ferdig med å reprodusere problemet. Dette er for å forhindre at Process Monitor registrerer andre unødvendige data (noe som gjør analysedelen vanskeligere). Du må gjøre alt det så raskt du kan.
Løsning: Loggfilen over forteller oss at Notisblokk har fått en
ACCESS DENIED
feil når du skrev tilHOSTS
filen. Løsningen vil være å bare kjøre Notepad forhøyet (høyreklikk og velg “Kjør som administrator”) for å kunne skrive tilHOSTS
filen.
Trinn 3: Lagre output
- I vinduet Prosessmonitor velger du Fil- menyen og klikker Lagre
- Velg Native Process Monitor Format (PML), nevn utdatafilnavnet og banen, lagre filen.
- Høyreklikk på
Logfile.PML
filen, klikk Send til og velgCompressed (zipped) folder
. Dette komprimerer filen med~90%
. Se på grafikken nedenfor. Du vil absolutt zip loggfilen før du sender den til noen.
Redaktørens merknad: Jeg anbefaler vanligvis mine klienter å lagre loggen med alternativet Alle hendelser, slik at jeg kan få brede alternativer for feilsøking av datamaskinen effektivt. Hvis du skal sende meg en Process Monitor-logg, må du aktivere alternativet Alle hendelser når du lagrer loggfilen. Ikke glem komprimere (.zip) loggfilen før du sender.
Det er det, lesere. For å holde dokumentasjonen enkel, har jeg brukt det enkleste eksemplet slik at en sluttbruker forstår tydelig hvordan man effektivt kan spore register- og filsystemhendelser ved å bruke Process Monitor og generere loggfilen.