So verwenden Sie Process Monitor, um Registrierungs- und Dateisystemänderungen zu verfolgen

VerschiedenesDec 20, 2021

Process Monitor ist ein hervorragendes Tool zur Fehlerbehebung von Windows Sysinternals, das die Dateien und Registrierungsschlüssel anzeigt, auf die Anwendungen in Echtzeit zugreifen. Die Ergebnisse können in einer Protokolldatei gespeichert werden, die Sie an einen Experten senden können, um ein Problem zu analysieren und zu beheben.

Im Folgenden finden Sie eine Anleitung zum Erfassen von Registrierungs- und Dateisystemzugriffen durch Anwendungen und zum Generieren einer Protokolldatei mit Process Monitor zur weiteren Analyse.

Verwenden Sie Process Monitor, um Änderungen an Registrierung und Dateisystem zu verfolgen

Szenario: Nehmen wir an, Sie können nicht an die schreiben GASTGEBER Datei erfolgreich in Windows und möchten wissen, was unter der Haube passiert. Jeder Schritt im folgenden Artikel dreht sich um dieses Beispielszenario.

Schritt 1: Prozessmonitor ausführen und Filter konfigurieren

  1. Herunterladen Prozessmonitor von Windows-Systeminterne Seite? ˅.
  2. Entpacken Sie den Inhalt der ZIP-Datei in einen Ordner Ihrer Wahl.
  3. Führen Sie die Process Monitor-Anwendung aus
  4. Fügen Sie die Prozesse hinzu, für die Sie die Aktivität verfolgen möchten. In diesem Beispiel möchten Sie einschließen Notepad.exe in den (einschließen) Filtern.
  5. Klicken Hinzufügen, und klicke OK.

    Spitze: Sie können auch mehrere Einträge hinzufügen, falls Sie einige weitere Prozesse zusammen mit verfolgen möchten Notepad.exe. Um dieses Beispiel einfacher zu halten, verfolgen wir nur Notepad.exe.

  6. Von dem Optionen Menü, klick Spalten auswählen.
  7. Aktivieren Sie unter „Ereignisdetails“ Sequenznummer, und klicke OK.

Schritt 2: Ereignisse erfassen

  1. Öffnen Sie den Editor.
  2. Wechseln Sie zum Prozessmonitor-Fenster.
  3. Aktivieren Sie den „Capture“-Modus (falls er nicht bereits eingeschaltet ist). Sie können den Status des Modus „Erfassen“ über die Symbolleiste des Prozessmonitors einsehen.

    Die oben hervorgehobene Schaltfläche ist die Schaltfläche "Erfassen", die derzeit deaktiviert ist. Sie müssen auf diese Schaltfläche klicken (oder verwenden Sie Strg + E Tastenfolge), um das Erfassen von Ereignissen zu ermöglichen.

    (Sie sehen jetzt das Hauptfenster von Process Monitor, das Registrierungs- und Dateiereignisse von Prozessen in Echtzeit erfasst, sobald sie auftreten.)

  4. Bereinigen Sie die vorhandene Ereignisliste mit Strg + x Tastenfolge (Wichtig) und neu anfangen
  5. Wechseln Sie nun zu Notepad und versuchen Sie es reproduziere das Problem.

    Um das Problem zu reproduzieren (für dieses Beispiel), versuchen Sie, in die HOSTS-Datei (C:\Windows\System32\Drivers\Etc\HOSTS) und speichern. Windows bietet an, die Datei (durch Anzeigen des Dialogfelds Speichern unter) unter einem anderen Namen oder an einem anderen Ort zu speichern.

    Was passiert also unter der Haube, wenn Sie in der HOSTS-Datei speichern? Process Monitor zeigt genau das.

  6. Wechseln Sie zum Prozessmonitor-Fenster und deaktivieren Sie die Erfassung (Strg + E) sobald Sie das Problem reproduzieren.

    Wichtig: Nehmen Sie sich nicht viel Zeit, um das Problem zu reproduzieren, nachdem Sie die Aufnahme aktiviert haben. Deaktivieren Sie auf ähnliche Weise die Aufnahme, sobald Sie das Problem reproduziert haben. Dies soll verhindern, dass Process Monitor andere nicht benötigte Daten aufzeichnet (was den Analyseteil erschwert). Sie müssen das alles so schnell wie möglich tun.

    Lösung: Die obige Protokolldatei sagt uns, dass Notepad auf ein ZUGRIFF ABGELEHNT Fehler beim Schreiben in die GASTGEBER Datei. Die Lösung wäre, einfach Notepad erhöht auszuführen (Rechtsklick und "Als Administrator ausführen"), um schreiben zu können GASTGEBER Datei erfolgreich.

Schritt 3: Speichern der Ausgabe

  1. Wählen Sie im Fenster Process Monitor die Option Datei Menü und klicke Speichern
  2. Wählen Natives Prozessmonitorformat (PML), erwähnen Sie den Namen und den Pfad der Ausgabedatei, speichern Sie die Datei.
  3. Klicken Sie mit der rechten Maustaste auf das Logdatei. PML Datei, klicken Sie auf Senden an und wählen Sie Komprimierter (gezippter) Ordner. Dies komprimiert die Datei um ~90%. Sehen Sie sich die Grafik unten an. Sie möchten die Protokolldatei auf jeden Fall zippen, bevor Sie sie an jemanden senden.

Anmerkung des Herausgebers: Normalerweise schlage ich meinen Kunden vor, das Protokoll mit dem. zu speichern Alle Veranstaltungen Option, damit die Diagnose genauer sein kann. Wenn Sie mir ein Process Monitor-Protokoll senden möchten, stellen Sie sicher, dass Sie die Alle Veranstaltungen Option beim Speichern der Protokolldatei. Vergessen Sie auch nicht, die Protokolldatei zuerst zu komprimieren (.zip).

Das ist es, Leser. Um die Dokumentation einfach zu halten, habe ich das einfachste Beispiel verwendet, damit ein Endbenutzer es versteht klar, wie Sie Registrierungs- und Dateisystemereignisse mithilfe von Process Monitor effizient verfolgen und die Logdatei.

Eine kleine Bitte: Wenn Ihnen dieser Beitrag gefallen hat, teilen Sie ihn bitte?

Eine "kleine" Aktie von Ihnen würde dem Wachstum dieses Blogs sehr helfen. Einige tolle Vorschläge:
  • Pin es!
  • Teilen Sie es mit Ihrem Lieblingsblog + Facebook, Reddit
  • Tweete es!
Also vielen Dank für Ihre Unterstützung, mein Leser. Es dauert nicht länger als 10 Sekunden Ihrer Zeit. Die Share-Buttons befinden sich direkt darunter. :)