Jak používat nástroj Process Monitor ke sledování změn registru a systému souborů

Process Monitor je vynikající nástroj pro odstraňování problémů od Windows Sysinternals, který zobrazuje soubory a klíče registru, ke kterým aplikace přistupují v reálném čase. Výsledky lze uložit do souboru protokolu, který můžete odeslat odborníkovi, aby analyzoval problém a vyřešil jej.

Zde je návod, jak zachytit přístupy aplikací k registru a souborovému systému a vygenerovat soubor protokolu pomocí Process Monitor pro další analýzu.

Ke sledování změn registru a systému souborů použijte nástroj Process Monitor

Scénář: Předpokládejme, že nejste schopni psát do HOSTITELÉ soubor úspěšně ve Windows a chcete vědět, co se děje pod kapotou. Každý krok v následujícím článku se točí kolem tohoto ukázkového scénáře.

Krok 1: Spuštění sledování procesu a konfigurace filtrů

  1. Stažení Monitor procesu z Windows Sysinternals místo.
  2. Extrahujte obsah souboru zip do složky podle vašeho výběru.
  3. Spusťte aplikaci Process Monitor
  4. Zahrňte procesy, na kterých chcete aktivitu sledovat. V tomto příkladu chcete zahrnout Notepad.exe v (Zahrnout) Filtry.
  5. Klikněte Přidata klikněte OK.

    Spropitné: Můžete také přidat více záznamů v případě, že chcete sledovat několik dalších procesů Notepad.exe. Aby byl tento příklad jednodušší, pojďme pouze sledovat Notepad.exe.

  6. z Možnosti menu, klikněte Vyberte Sloupce.
  7. V části Podrobnosti události aktivujte pořadové čísloa klikněte OK.

Krok 2: Zachycení událostí

  1. Otevřete Poznámkový blok.
  2. Přepněte do okna Process Monitor.
  3. Aktivujte režim „Capture“ (pokud již není zapnutý). Stav režimu „Capture“ můžete vidět prostřednictvím panelu nástrojů Monitor procesu.

    Zvýrazněné tlačítko nahoře je tlačítko „Capture“, které je aktuálně vypnuté. Na toto tlačítko musíte kliknout (nebo použít Ctrl + E sekvence kláves), abyste umožnili zachycení událostí.

    (Nyní uvidíte hlavní okno Process Monitor zachycující události registru a souborů podle procesů v reálném čase, jak a kdy nastanou.)

  4. Vyčistěte existující seznam událostí pomocí Ctrl + X sekvence kláves (Důležité) a začněte znovu
  5. Nyní přepněte na Poznámkový blok a zkuste to reprodukovat problém.

    Chcete-li problém reprodukovat (pro tento příklad), zkuste zapsat do souboru HOSTS (C:\Windows\System32\Drivers\Etc\HOSTS) a uložte jej. Systém Windows nabízí uložení souboru (zobrazením dialogu Uložit jako) pod jiným názvem nebo na jiné místo.

    Co se tedy stane pod pokličkou, když uložíte soubor HOSTS? Process Monitor to přesně ukazuje.

  6. Přepněte se do okna Process Monitor a vypněte Capturing (Ctrl + E), jakmile problém zopakujete.

    Důležité: Po povolení zachycení nezabere mnoho času reprodukování problému. Podobně vypněte zachycování, jakmile dokončíte reprodukci problému. To má zabránit tomu, aby Process Monitor zaznamenával další nepotřebná data (což ztěžuje část analýzy). To vše musíte udělat co nejrychleji.

    Řešení: Výše uvedený soubor protokolu nám říká, že Poznámkový blok narazil na PŘÍSTUP ODEPŘEN chyba při zápisu do HOSTITELÉ soubor. Řešením by bylo jednoduše spustit Poznámkový blok se zvýšeným oprávněním (klikněte pravým tlačítkem a vyberte „Spustit jako správce“), abyste mohli zapisovat HOSTITELÉ soubor úspěšně.

Krok 3: Uložení výstupu

  1. V okně Process Monitor vyberte Soubor menu a klikněte Uložit
  2. Vybrat Nativní formát sledování procesů (PML), uveďte název výstupního souboru a cestu, soubor uložte.
  3. Klepněte pravým tlačítkem myši na Log soubor. PML soubor, klepněte na Odeslat a vyberte Komprimovaná (zazipovaná) složka. Toto komprimuje soubor pomocí ~90%. Podívejte se na grafiku níže. Určitě chcete soubor protokolu zazipovat, než jej někomu pošlete.

Poznámka redakce: Obvykle doporučuji svým klientům uložit protokol pomocí Všechny události možnost, aby mohla být diagnóza přesnější. Pokud mi chcete poslat protokol Process Monitor, ujistěte se, že jste povolili Všechny události možnost při ukládání souboru protokolu. Také nezapomeňte nejprve komprimovat (.zip) soubor protokolu.

To je vše, čtenáři. Aby byla dokumentace jednoduchá, použil jsem nejjednodušší příklad, aby to koncový uživatel pochopil jasně, jak efektivně sledovat události registru a souborového systému pomocí Process Monitor & generovat log soubor.


Jedna malá prosba: Pokud se vám tento příspěvek líbil, sdílejte jej prosím?

Jedno "drobné" sdílení od vás by vážně hodně pomohlo růstu tohoto blogu. Některé skvělé návrhy:
  • Připnout!
  • Sdílejte to na svůj oblíbený blog + Facebook, Reddit
  • Tweetujte!
Takže moc děkuji za podporu, můj čtenáři. Nezabere to více než 10 sekund vašeho času. Tlačítka sdílení jsou vpravo dole. :)