Kako koristiti Process Monitor za praćenje promjena registra i datotečnog sustava

MiscelaneaDec 20, 2021
click fraud protection

Process Monitor izvrstan je alat za rješavanje problema iz sustava Windows Sysinternals koji prikazuje datoteke i ključeve registra kojima aplikacije pristupaju u stvarnom vremenu. Rezultati se mogu spremiti u datoteku dnevnika, koju možete poslati stručnjaku za analizu problema i njegovo rješavanje.

Ovdje je vodič o tome kako zabilježiti pristup registru i datotečnom sustavu od strane aplikacija i generirati datoteku dnevnika pomoću Process Monitora za daljnju analizu.

Koristite Process Monitor za praćenje promjena registra i datotečnog sustava

Scenarij: Pretpostavimo da ne možete pisati na DOMAĆINI datoteku uspješno u sustavu Windows i želite znati što se događa ispod haube. Svaki korak u sljedećem članku vrti se oko ovog primjera scenarija.

Korak 1: Pokretanje nadzora procesa i konfiguriranje filtara

  1. preuzimanje datoteka Monitor procesa iz Windows Sysinternals mjesto.
  2. Izvucite sadržaj zip datoteke u mapu po vašem izboru.
  3. Pokrenite aplikaciju Process Monitor
  4. Uključite procese na kojima želite pratiti aktivnost. Za ovaj primjer, želite uključiti Notepad.exe u (Uključi) filtere.
  5. Klik Dodati, i kliknite u redu.

    Savjet: Možete dodati i više unosa, u slučaju da želite pratiti još nekoliko procesa zajedno s Notepad.exe. Da bi ovaj primjer bio jednostavniji, pratimo samo Notepad.exe.

  6. Od Mogućnosti izborniku, kliknite Odaberite Stupci.
  7. U odjeljku "Pojedinosti o događaju" omogućite Redni broj, i kliknite u redu.

Korak 2: Snimanje događaja

  1. Otvorite Notepad.
  2. Prijeđite na prozor Process Monitor.
  3. Omogućite način rada "Capture" (ako već nije UKLJUČEN). Status "Capture" načina rada možete vidjeti putem alatne trake Process Monitor.

    Označeni gumb iznad je gumb "Snimi", koji je trenutno onemogućen. Morate kliknuti na taj gumb (ili koristiti Ctrl + E slijed ključa) kako bi se omogućilo snimanje događaja.

    (Sada ćete vidjeti glavni prozor Process Monitora koji bilježi događaje registra i datoteka po procesima u stvarnom vremenu, kako i kada se dogode.)

  4. Očistite postojeći popis događaja pomoću Ctrl + x slijed ključeva (Važno) i počni ispočetka
  5. Sada prijeđite na Notepad i pokušajte reproducirati problem.

    Da biste reproducirali problem (za ovaj primjer), pokušajte pisati u datoteku HOSTS (C:\Windows\System32\Drivers\Etc\HOSTS) i spremanje. Windows nudi spremanje datoteke (prikazivanjem dijaloškog okvira Spremi kao) s drugim imenom ili na drugom mjestu.

    Dakle, što se događa ispod haube kada spremite u datoteku HOSTS? Proces Monitor pokazuje to, točno.

  6. Prijeđite na prozor Process Monitor i isključite Snimanje (Ctrl + E) čim reproducirate problem.

    Važno: Nemojte oduzeti puno vremena da reproducirate problem nakon što omogućite snimanje. Slično tome, isključite snimanje čim završite s reprodukcijom problema. Ovo je kako bi se spriječilo Process Monitor da bilježi druge nepotrebne podatke (što otežava dio analize). Sve to morate učiniti što je brže moguće.

    Riješenje: Gornja datoteka zapisnika nam govori da je Notepad naišao na PRISTUP ODBIJEN greška prilikom pisanja na DOMAĆINI datoteka. Rješenje bi bilo jednostavno pokrenuti Notepad s povišenim vrijednostima (desni klik i odabrati "Pokreni kao administrator") kako biste mogli pisati DOMAĆINI datoteka uspješno.

Korak 3: Spremanje izlaza

  1. U prozoru Process Monitor odaberite Datoteka izborniku i kliknite Uštedjeti
  2. Izaberi Izvorni format monitora procesa (PML), navedite naziv izlazne datoteke i put, spremite datoteku.
  3. Desnom tipkom miša kliknite na Dnevnik. PML datoteku, kliknite Pošalji na i odaberite Komprimirana (zipirana) mapa. Ovo komprimira datoteku po ~90%. Pogledajte grafiku ispod. Sigurno želite komprimirati datoteku dnevnika prije nego što je nekome pošaljete.

Napomena urednika: Obično predlažem svojim klijentima da pohranjuju zapisnik s Svi događaji opciju kako bi dijagnoza bila točnija. Ako ćete mi poslati zapisnik Process Monitora, provjerite jeste li omogućili Svi događaji opciju prilikom spremanja datoteke dnevnika. Također, ne zaboravite prvo sažimati (.zip) datoteku dnevnika.

To je to, čitatelji. Da bi dokumentacija bila jednostavna, upotrijebio sam najlakši primjer kako bi krajnji korisnik razumio jasno kako učinkovito pratiti događaje registra i datotečnog sustava pomoću Process Monitora i generirati log datoteku.

Jedna mala molba: Ako vam se svidio ovaj post, podijelite ovo?

Jedan tvoj "sitni" share bi ozbiljno pomogao u razvoju ovog bloga. Nekoliko sjajnih prijedloga:
  • Prikvačiti!
  • Podijelite ga na svom omiljenom blogu + Facebooku, Redditu
  • Tweetajte!
Zato ti puno hvala na podršci, moj čitatelju. Neće vam trebati više od 10 sekundi vremena. Gumbi za dijeljenje nalaze se odmah ispod. :)