Πώς να χρησιμοποιήσετε το Process Monitor για την παρακολούθηση των αλλαγών μητρώου και συστήματος αρχείων

MiscellaneaDec 20, 2021

Το Process Monitor είναι ένα εξαιρετικό εργαλείο αντιμετώπισης προβλημάτων από το Windows Sysinternals που εμφανίζει τα αρχεία και τα κλειδιά μητρώου στα οποία έχουν πρόσβαση οι εφαρμογές σε πραγματικό χρόνο. Τα αποτελέσματα μπορούν να αποθηκευτούν σε ένα αρχείο καταγραφής, το οποίο μπορείτε να στείλετε σε έναν ειδικό για να αναλύσει ένα πρόβλημα και να το αντιμετωπίσει.

Ακολουθεί ένας οδηγός σχετικά με τον τρόπο καταγραφής προσβάσεων μητρώου και συστήματος αρχείων από εφαρμογές και δημιουργίας αρχείου καταγραφής χρησιμοποιώντας το Process Monitor για περαιτέρω ανάλυση.

Χρησιμοποιήστε το Process Monitor για να παρακολουθείτε τις αλλαγές μητρώου και συστήματος αρχείων

Σενάριο: Ας υποθέσουμε ότι δεν μπορείτε να γράψετε στο ΟΙΚΟΔΕΣΠΟΤΕΣ αρχείο με επιτυχία στα Windows και θέλετε να μάθετε τι συμβαίνει κάτω από την κουκούλα. Κάθε βήμα στο παρακάτω άρθρο περιστρέφεται γύρω από αυτό το δείγμα σεναρίου.

Βήμα 1: Εκτέλεση Παρακολούθησης Διαδικασιών & Διαμόρφωση Φίλτρων

  1. Κατεβάστε Παρακολούθηση διαδικασίας από Windows Sysinternals ιστοσελίδα.
  2. Εξαγάγετε τα περιεχόμενα του αρχείου zip σε έναν φάκελο της επιλογής σας.
  3. Εκτελέστε την εφαρμογή Process Monitor
  4. Συμπεριλάβετε τις διαδικασίες στις οποίες θέλετε να παρακολουθείτε τη δραστηριότητα. Για αυτό το παράδειγμα, θέλετε να συμπεριλάβετε Notepad.exe στα Φίλτρα (Συμπερίληψη).
  5. Κάντε κλικ Προσθήκηκαι κάντε κλικ Εντάξει.

    Υπόδειξη: Μπορείτε επίσης να προσθέσετε πολλές καταχωρήσεις, σε περίπτωση που θέλετε να παρακολουθήσετε μερικές ακόμη διαδικασίες μαζί με Notepad.exe. Για να διατηρήσουμε αυτό το παράδειγμα πιο απλό, ας παρακολουθήσουμε μόνο Notepad.exe.

  6. Από το Επιλογές μενού, κάντε κλικ Επιλέξτε Στήλες.
  7. Στην ενότητα "Λεπτομέρειες συμβάντος", ενεργοποιήστε Αριθμός ακολουθίαςκαι κάντε κλικ Εντάξει.

Βήμα 2: Καταγραφή συμβάντων

  1. Ανοίξτε το Σημειωματάριο.
  2. Μετάβαση στο παράθυρο Παρακολούθηση διεργασιών.
  3. Ενεργοποιήστε τη λειτουργία "Λήψη" (αν δεν είναι ήδη ενεργοποιημένη). Μπορείτε να δείτε την κατάσταση της λειτουργίας «Λήψη» μέσω της γραμμής εργαλείων της Παρακολούθησης Διαδικασιών.

    Το κουμπί που επισημαίνεται παραπάνω είναι το κουμπί "Λήψη", το οποίο είναι απενεργοποιημένο αυτήν τη στιγμή. Πρέπει να κάνετε κλικ σε αυτό το κουμπί (ή να χρησιμοποιήσετε Ctrl + μι ακολουθία πλήκτρων) για να ενεργοποιήσετε την καταγραφή γεγονότων.

    (Θα δείτε τώρα το κύριο παράθυρο του Process Monitor που καταγράφει τα συμβάντα μητρώου και αρχείων ανά διεργασίες σε πραγματικό χρόνο, όπως και όταν συμβαίνουν.)

  4. Εκκαθαρίστε την υπάρχουσα λίστα συμβάντων χρησιμοποιώντας Ctrl + Χ ακολουθία πλήκτρων (Σπουδαίος) και ξεκινήστε από την αρχή
  5. Τώρα μεταβείτε στο Σημειωματάριο και προσπαθήστε να το κάνετε αναπαράγουν το πρόβλημα.

    Για να αναπαράγετε το πρόβλημα (για αυτό το παράδειγμα), δοκιμάστε να γράψετε στο αρχείο HOSTS (C:\Windows\System32\Drivers\Etc\HOSTS) και αποθηκεύστε το. Τα Windows προσφέρουν την αποθήκευση του αρχείου (εμφανίζοντας το παράθυρο διαλόγου Αποθήκευση ως) με διαφορετικό όνομα ή σε διαφορετική τοποθεσία.

    Λοιπόν, τι συμβαίνει κάτω από την κουκούλα όταν αποθηκεύετε στο αρχείο HOSTS; Το Process Monitor δείχνει ακριβώς αυτό.

  6. Μεταβείτε στο παράθυρο Παρακολούθηση διεργασιών και απενεργοποιήστε τη λήψη (Ctrl + μι) μόλις αναπαράγετε το πρόβλημα.

    Σπουδαίος: Μην αφιερώσετε πολύ χρόνο για την αναπαραγωγή του προβλήματος μετά την ενεργοποίηση της λήψης. Ομοίως, απενεργοποιήστε τη λήψη μόλις ολοκληρώσετε την αναπαραγωγή του προβλήματος. Αυτό γίνεται για να αποτρέψει το Process Monitor από την εγγραφή άλλων περιττών δεδομένων (πράγμα που καθιστά το τμήμα ανάλυσης πιο δύσκολο). Πρέπει να τα κάνετε όλα αυτά όσο πιο γρήγορα μπορείτε.

    Λύση: Το παραπάνω αρχείο καταγραφής μας λέει ότι το Σημειωματάριο αντιμετώπισε ένα ΔΕΝ ΕΠΙΤΡΕΠΕΤΑΙ Η ΠΡΟΣΒΑΣΗ σφάλμα κατά την εγγραφή στο ΟΙΚΟΔΕΣΠΟΤΕΣ αρχείο. Η λύση θα ήταν απλώς να τρέξετε το Σημειωματάριο σε ανυψωμένη θέση (κάντε δεξί κλικ και επιλέξτε "Εκτέλεση ως διαχειριστής") για να μπορείτε να γράφετε σε ΟΙΚΟΔΕΣΠΟΤΕΣ αρχείο με επιτυχία.

Βήμα 3: Αποθήκευση της εξόδου

  1. Στο παράθυρο Process Monitor, επιλέξτε το Αρχείο μενού και κάντε κλικ Σώσει
  2. Επιλέγω Μορφή εγγενούς παρακολούθησης διεργασιών (PML), αναφέρετε το όνομα του αρχείου εξόδου και τη διαδρομή, αποθηκεύστε το αρχείο.
  3. Κάντε δεξί κλικ στο Αρχείο καταγραφής. PML αρχείο, κάντε κλικ στην επιλογή Αποστολή σε και επιλέξτε Συμπιεσμένος (συμπιεσμένος) φάκελος. Αυτό συμπιέζει το αρχείο κατά ~90%. Δείτε το παρακάτω γράφημα. Σίγουρα θέλετε να κάνετε zip το αρχείο καταγραφής πριν το στείλετε σε κάποιον.

Σημείωση του συντάκτη: Συνήθως προτείνω στους πελάτες μου να αποθηκεύσουν το αρχείο καταγραφής με το Όλες οι εκδηλώσεις επιλογή έτσι ώστε η διάγνωση να είναι πιο ακριβής. Εάν πρόκειται να μου στείλετε ένα αρχείο καταγραφής παρακολούθησης διεργασιών, βεβαιωθείτε ότι έχετε ενεργοποιήσει το Όλες οι εκδηλώσεις επιλογή κατά την αποθήκευση του αρχείου καταγραφής. Επίσης, μην ξεχνάτε πρώτα τη συμπίεση (.zip) του αρχείου καταγραφής.

Αυτό είναι, αναγνώστες. Για να διατηρήσω την τεκμηρίωση απλή, χρησιμοποίησα το πιο εύκολο παράδειγμα έτσι ώστε ο τελικός χρήστης να καταλάβει ξεκάθαρα πώς να παρακολουθείτε αποτελεσματικά τα συμβάντα μητρώου και συστήματος αρχείων χρησιμοποιώντας το Process Monitor και να δημιουργείτε το αρχείο καταγραφής.

Ένα μικρό αίτημα: Αν σας άρεσε αυτή η ανάρτηση, κοινοποιήστε την;

Μια "μικροσκοπική" κοινοποίηση από εσάς θα βοηθούσε σοβαρά πολύ στην ανάπτυξη αυτού του ιστολογίου. Μερικές υπέροχες προτάσεις:
  • Καρφιτσώστε το!
  • Μοιραστείτε το στο αγαπημένο σας blog + Facebook, Reddit
  • Tweet το!
Σας ευχαριστώ πολύ λοιπόν για την υποστήριξή σας, αναγνώστη μου. Δεν θα πάρει περισσότερα από 10 δευτερόλεπτα από τον χρόνο σας. Τα κουμπιά κοινής χρήσης βρίσκονται ακριβώς από κάτω. :)