كيفية استخدام Process Monitor لتعقب التغييرات في نظام التسجيل والملفات

Process Monitor هو أداة ممتازة لاستكشاف الأخطاء وإصلاحها من Windows Sysinternals والتي تعرض الملفات ومفاتيح التسجيل التي تصل إليها التطبيقات في الوقت الفعلي. يمكن حفظ النتائج في ملف سجل ، والذي يمكنك إرساله إلى خبير لتحليل المشكلة واستكشاف الأخطاء وإصلاحها.

فيما يلي دليل حول كيفية تسجيل الوصول إلى نظام التسجيل والملفات بواسطة التطبيقات ، وإنشاء ملف سجل باستخدام Process Monitor لمزيد من التحليل.

استخدم Process Monitor لتعقب التغييرات في نظام التسجيل والملفات

سيناريو: لنفترض أنك غير قادر على الكتابة إلى مستضيف ملف بنجاح في Windows ، وتريد معرفة ما يحدث تحت الغطاء. تدور كل خطوة في المقالة التالية حول هذا السيناريو النموذجي.

الخطوة 1: تشغيل مراقب العمليات وتكوين المرشحات

1. تحميل مراقبة العملية من أنظمة تشغيل Windows موقع.
2. قم باستخراج محتويات الملف المضغوط إلى مجلد من اختيارك.
3. قم بتشغيل تطبيق Process Monitor
4. قم بتضمين العمليات التي تريد تتبع النشاط عليها. في هذا المثال ، تريد تضمين Notepad.exe في (تضمين) عوامل التصفية.
   
5. انقر يضيف، وانقر موافق.

   نصيحة: يمكنك إضافة إدخالات متعددة أيضًا ، في حالة ما إذا كنت ترغب في تتبع بعض العمليات الأخرى جنبًا إلى جنب مع

   Notepad.exe. لتبسيط هذا المثال ، فلنتتبع فقط Notepad.exe.

6. من خيارات القائمة ، انقر فوق حدد الأعمدة.
7. ضمن "تفاصيل الحدث" ، قم بتمكين رقم التسلسل، وانقر موافق.
   

الخطوة الثانية: تسجيل الأحداث

1. افتح المفكرة.
2. قم بالتبديل إلى نافذة Process Monitor.
3. مكّن وضع "الالتقاط" (إذا لم يكن قيد التشغيل بالفعل). يمكنك رؤية حالة وضع "الالتقاط" عبر شريط أدوات Process Monitor.
   

   الزر المميز أعلاه هو زر "التقاط" ، والذي تم تعطيله حاليًا. تحتاج إلى النقر فوق هذا الزر (أو استخدام كنترول + ه تسلسل المفاتيح) لتمكين التقاط الأحداث.

   (سترى الآن نافذة Process Monitor الرئيسية التي تلتقط أحداث التسجيل والملف حسب العمليات في الوقت الفعلي ، عند حدوثها.)

4. تنظيف قائمة الأحداث الحالية باستخدام كنترول + X تسلسل المفاتيح (الأهمية) وابدأ من جديد
5. الآن قم بالتبديل إلى Notepad وحاول إعادة إنتاج المشكلة.

   لإعادة إظهار المشكلة (على سبيل المثال) ، حاول الكتابة إلى ملف HOSTS (C: \ Windows \ System32 \ Drivers \ Etc \ HOSTS) وحفظه. يعرض Windows حفظ الملف (عن طريق إظهار مربع الحوار "حفظ باسم") باسم مختلف أو في موقع مختلف.

   لذا ، ماذا يحدث تحت الغطاء عند حفظ ملف HOSTS؟ تظهر عملية مراقب ذلك ، بالضبط.

   
6. قم بالتبديل إلى نافذة Process Monitor ، وقم بإيقاف تشغيل الالتقاط (كنترول + ه) بمجرد إعادة إظهار المشكلة.

   الأهمية: لا تأخذ الكثير من الوقت لإعادة إظهار المشكلة بعد تمكين الالتقاط. وبالمثل ، قم بإيقاف تشغيل الالتقاط بمجرد الانتهاء من إعادة إنتاج المشكلة. هذا لمنع Process Monitor من تسجيل البيانات الأخرى غير الضرورية (مما يجعل جزء التحليل أكثر صعوبة). عليك أن تفعل كل ذلك بأسرع ما يمكن.

   المحلول: يخبرنا ملف السجل أعلاه أن برنامج Notepad واجه ملف تم الرفض خطأ عند الكتابة إلى مستضيف ملف. سيكون الحل ببساطة تشغيل برنامج Notepad مرتفعًا (انقر بزر الماوس الأيمن واختر "تشغيل كمسؤول") لتتمكن من الكتابة إلى مستضيف الملف بنجاح.

الخطوة 3: حفظ الإخراج

1. في نافذة Process Monitor ، حدد ملف ملف القائمة وانقر يحفظ
2. يختار تنسيق مراقب العملية الأصلي (PML)، اذكر اسم ملف الإخراج والمسار ، احفظ الملف.
   
3. انقر بزر الماوس الأيمن فوق ملف ملف تسجيل. PML انقر فوق إرسال إلى واختر مجلد مضغوط مضغوط. هذا يضغط الملف بواسطة ~90%. انظر إلى الرسم أدناه. أنت بالتأكيد تريد ضغط ملف السجل قبل إرساله إلى شخص ما.
   

ملحوظة المحرر: أقترح عادةً على عملائي حفظ السجل بامتداد كل الأحداث حتى يكون التشخيص أكثر دقة. إذا كنت سترسل إليّ سجل عملية مراقب ، فتأكد من تمكين كل الأحداث الخيار عند حفظ ملف السجل. أيضًا ، لا تنس الضغط (.zip) ملف السجل أولاً.

هذا كل شيء ، أيها القراء. للحفاظ على بساطة التوثيق ، فقد استخدمت أسهل مثال حتى يفهمه المستخدم النهائي بوضوح كيفية تتبع أحداث نظام التسجيل والملفات بكفاءة باستخدام Process Monitor وإنشاء ملف ملف تسجيل.