Process Monitorin käyttäminen rekisteri- ja tiedostojärjestelmän muutosten seuraamiseen

SekalaistaDec 20, 2021
click fraud protection

Process Monitor on Windows Sysinternalsin erinomainen vianmääritystyökalu, joka näyttää tiedostot ja rekisteriavaimet, joita sovellukset käyttävät reaaliajassa. Tulokset voidaan tallentaa lokitiedostoon, jonka voit lähettää asiantuntijalle ongelman analysointia ja vianmääritystä varten.

Tässä on opas sovellusten rekisteri- ja tiedostojärjestelmän käyttöoikeuksien tallentamiseen ja lokitiedoston luomiseen Process Monitorin avulla lisäanalyysiä varten.

Käytä Process Monitoria rekisteri- ja tiedostojärjestelmän muutosten seuraamiseen

Skenaario: Oletetaan, että et pysty kirjoittamaan HOSTS tiedosto onnistuneesti Windowsissa ja haluat tietää, mitä konepellin alla tapahtuu. Jokainen seuraavan artikkelin vaihe pyörii tämän esimerkkiskenaarion ympärillä.

Vaihe 1: Prosessivalvonnan suorittaminen ja suodattimien määrittäminen

  1. ladata Prosessin monitori alkaen Windows Sysinternals sivusto.
  2. Pura zip-tiedoston sisältö valitsemaasi kansioon.
  3. Suorita Process Monitor -sovellus
  4. Sisällytä prosessit, joiden toimintaa haluat seurata. Tässä esimerkissä haluat sisällyttää Notepad.exe (Sisällytä) -suodattimissa.
  5. Klikkaus Lisätäja napsauta OK.

    Kärki: Voit myös lisätä useita merkintöjä, jos haluat seurata useita muita prosesseja Notepad.exe. Jotta tämä esimerkki olisi yksinkertaisempi, seurataan vain Notepad.exe.

  6. alkaen Vaihtoehdot valikko, napsauta Valitse Sarakkeet.
  7. Ota käyttöön Tapahtuman tiedot -kohdassa Sekvenssi numeroja napsauta OK.

Vaihe 2: Tapahtumien tallentaminen

  1. Avaa Muistio.
  2. Vaihda Process Monitor -ikkunaan.
  3. Ota Capture-tila käyttöön (jos se ei ole jo käytössä). Voit nähdä Capture-tilan tilan Process Monitor -työkalurivin kautta.

    Yllä korostettu painike on Capture-painike, joka on tällä hetkellä pois käytöstä. Sinun on napsautettava sitä painiketta (tai käytä Ctrl + E näppäinjärjestys) mahdollistaaksesi tapahtumien tallentamisen.

    (Näet nyt Process Monitor -pääikkunan, joka tallentaa rekisteri- ja tiedostotapahtumat prosessien mukaan reaaliajassa, kun niitä tapahtuu.)

  4. Puhdista olemassa oleva tapahtumaluettelo käyttämällä Ctrl + X näppäinsarja (Tärkeä) ja aloita alusta
  5. Vaihda nyt Notepadiin ja yritä toistaa ongelman.

    Toistaaksesi ongelman (tässä esimerkissä), yritä kirjoittaa HOSTS-tiedostoon (C:\Windows\System32\Drivers\Etc\HOSTS) ja tallentamalla sen. Windows tarjoaa tiedoston tallentamisen (näyttämällä Tallenna nimellä -valintaikkunan) eri nimellä tai eri paikkaan.

    Joten mitä tapahtuu konepellin alla, kun tallennat HOSTS-tiedostoon? Process Monitor näyttää sen tarkalleen.

  6. Vaihda Process Monitor -ikkunaan ja sammuta Capturing (Ctrl + E) heti, kun toistat ongelman.

    Tärkeä: Älä käytä paljon aikaa ongelman toistamiseen sieppauksen käyttöönoton jälkeen. Samoin sammuta kaappaus heti, kun olet lopettanut ongelman toistamisen. Tämä estää Process Monitoria tallentamasta muita tarpeettomia tietoja (mikä vaikeuttaa analyysiosaa). Sinun on tehtävä kaikki tämä niin nopeasti kuin voit.

    Ratkaisu: Yllä oleva lokitiedosto kertoo, että Notepad kohtasi PÄÄSY EVÄTTY virhe kirjoitettaessa HOSTS tiedosto. Ratkaisu olisi yksinkertaisesti ajaa Notepad korotettuna (napsauta hiiren kakkospainikkeella ja valitse "Suorita järjestelmänvalvojana"), jotta voit kirjoittaa HOSTS tiedosto onnistuneesti.

Vaihe 3: Tallenna tulos

  1. Valitse Process Monitor -ikkunassa Tiedosto valikko ja napsauta Tallentaa
  2. Valitse Alkuperäinen prosessinvalvontamuoto (PML), mainitse tulostiedoston nimi ja polku, tallenna tiedosto.
  3. Napsauta hiiren kakkospainikkeella Loki tiedosto. PML tiedosto, napsauta Lähetä ja valitse Pakattu (zipattu) kansio. Tämä pakkaa tiedoston ~90%. Katso alla olevaa grafiikkaa. Haluat varmasti pakata lokitiedoston ennen kuin lähetät sen jollekin.

Toimittajan huomautus: Suosittelen yleensä asiakkaitani tallentamaan lokin Kaikki tapahtumat vaihtoehto, jotta diagnoosi voi olla tarkempi. Jos aiot lähettää minulle Process Monitor -lokin, varmista, että otat sen käyttöön Kaikki tapahtumat vaihtoehto lokitiedostoa tallennettaessa. Älä myöskään unohda pakata (.zip) lokitiedostoa ensin.

Siinä se, lukijat. Jotta dokumentaatio olisi yksinkertaista, olen käyttänyt helpointa esimerkkiä, jotta loppukäyttäjä ymmärtää selkeästi kuinka tehokkaasti seurata rekisteri- ja tiedostojärjestelmätapahtumia Process Monitorin avulla ja luoda loki tiedosto.

Yksi pieni pyyntö: Jos pidit tästä viestistä, jaa tämä?

Yksi "pieni" jakaminen sinulta auttaisi todella paljon tämän blogin kasvussa. Muutamia hienoja ehdotuksia:
  • Kiinnittää sen!
  • Jaa se suosikkiblogiisi + Facebookiin, Redditiin
  • Twiittaa se!
Joten kiitos paljon tuestanne, lukijani. Se ei vie aikaasi enempää kuin 10 sekuntia. Jaa-painikkeet ovat aivan alla. :)