A Process Monitor használata a rendszerleíró adatbázis és a fájlrendszer változásainak nyomon követésére

Vegyes CikkekDec 20, 2021

A Process Monitor a Windows Sysinternals kiváló hibaelhárító eszköze, amely valós időben jeleníti meg azokat a fájlokat és rendszerleíró kulcsokat, amelyekhez az alkalmazások hozzáférnek. Az eredmények naplófájlba menthetők, amelyet elküldhet egy szakértőnek a probléma elemzése és hibaelhárítása céljából.

Itt található egy útmutató arról, hogyan rögzítheti az alkalmazások által elért rendszerleíró adatbázist és fájlrendszert, és hogyan hozhat létre naplófájlt a Process Monitor segítségével további elemzés céljából.

A Process Monitor használatával nyomon követheti a rendszerleíró adatbázis és a fájlrendszer változásait

Forgatókönyv: Tegyük fel, hogy nem tud írni a OTTHONT AD fájl sikeresen letölthető a Windows rendszerben, és tudni szeretné, mi történik a motorháztető alatt. A következő cikkben minden lépés ezt a példahelyzetet járja körül.

1. lépés: Folyamatfigyelő futtatása és szűrők konfigurálása

  1. Letöltés Folyamatfigyelő tól től Windows Sysinternals webhely.
  2. Csomagolja ki a zip fájl tartalmát egy tetszőleges mappába.
  3. Futtassa a Process Monitor alkalmazást
  4. Tartalmazza azokat a folyamatokat, amelyeken nyomon szeretné követni a tevékenységet. Ebben a példában szeretné szerepeltetni Notepad.exe a (Include) szűrőkben.
  5. Kattintson Hozzáadás, és kattintson rendben.

    Tipp: Több bejegyzést is hozzáadhat, ha néhány további folyamatot szeretne nyomon követni Notepad.exe. Hogy ez a példa egyszerűbb legyen, csak nyomon követjük Notepad.exe.

  6. Tól Opciók menü, kattintson Válassza az Oszlopok lehetőséget.
  7. Az „Esemény részletei” alatt engedélyezze Sorszám, és kattintson rendben.

2. lépés: Események rögzítése

  1. Nyissa meg a Jegyzettömböt.
  2. Váltson a Process Monitor ablakra.
  3. Engedélyezze a „Rögzítés” módot (ha még nincs bekapcsolva). A „Rögzítés” mód állapotát a Process Monitor eszköztáron tekintheti meg.

    A fent kiemelt gomb a „Rögzítés” gomb, amely jelenleg le van tiltva. Erre a gombra kell kattintania (vagy használja Ctrl + E gombsorozat) lehetővé teszi az események rögzítését.

    (Mostantól látni fogja a Process Monitor főablakát, amely valós időben rögzíti a rendszerleíró adatbázis és a fájl eseményeket folyamatok szerint, amikor és amikor azok előfordulnak.)

  4. Tisztítsa meg a meglévő eseménylistát a segítségével Ctrl + x billentyűsor (Fontos), és kezdje elölről
  5. Most váltson a Jegyzettömbre, és próbálja meg reprodukálni a problémát.

    A probléma reprodukálásához (ebben a példában) próbáljon meg írni a HOSTS fájlba (C:\Windows\System32\Drivers\Etc\HOSTS) és elmenti. A Windows felajánlja a fájl mentését (a Mentés másként párbeszédpanel megjelenítésével) más néven vagy más helyre.

    Tehát mi történik a motorháztető alatt, amikor HOSTS fájlba menti? A Process Monitor pontosan ezt mutatja.

  6. Váltson a Process Monitor ablakra, és kapcsolja ki a rögzítést (Ctrl + E) amint reprodukálja a problémát.

    Fontos: A rögzítés engedélyezése után ne teljen sok idő a probléma reprodukálásához. Hasonlóképpen kapcsolja ki a rögzítést, amint befejezte a probléma reprodukálását. Ez megakadályozza, hogy a Process Monitor más szükségtelen adatokat rögzítsen (ami megnehezíti az elemzési részt). Mindezt a lehető leggyorsabban kell megtennie.

    Megoldás: A fenti naplófájl azt mondja, hogy a Jegyzettömb találkozott egy HOZZÁFÉRÉS MEGTAGADVA hiba az íráskor OTTHONT AD fájlt. A megoldás az lenne, ha egyszerűen futtassa a Jegyzettömböt emelt szinten (kattintson a jobb gombbal, és válassza a "Futtatás rendszergazdaként" lehetőséget), hogy tudjon írni OTTHONT AD fájl sikeresen.

3. lépés: A kimenet mentése

  1. A Process Monitor ablakban válassza ki a Fájl menüt, és kattintson Megment
  2. Válassza ki Natív folyamatfigyelő formátum (PML), adja meg a kimeneti fájl nevét és elérési útját, mentse a fájlt.
  3. Kattintson jobb gombbal a Log fájl. PML fájlt, kattintson a Küldés gombra, és válassza ki Tömörített (zip) mappa. Ez tömöríti a fájlt a következővel: ~90%. Nézd meg az alábbi grafikát. Minden bizonnyal tömöríteni szeretné a naplófájlt, mielőtt elküldi valakinek.

A szerkesztő megjegyzése: Általában azt javaslom ügyfeleimnek, hogy a naplót a Minden esemény lehetőséget, hogy a diagnózis pontosabb legyen. Ha folyamatfigyelő naplót szeretne küldeni, győződjön meg arról, hogy engedélyezte a Minden esemény opciót a naplófájl mentésekor. Ne felejtse el először tömöríteni (.zip) a naplófájlt.

Ennyi, olvasók. A dokumentáció egyszerűségének megőrzése érdekében a legegyszerűbb példát használtam, hogy a végfelhasználó megértse egyértelműen, hogyan lehet hatékonyan nyomon követni a rendszerleíró adatbázis és a fájlrendszer eseményeit a Process Monitor segítségével és előállítani a log fájl.

Egy apró kérés: Ha tetszett a bejegyzés, kérlek oszd meg?

Egy "apró" megosztásod komolyan segítene ennek a blognak a növekedésében. Néhány nagyszerű javaslat:
  • Tűzd ki!
  • Oszd meg kedvenc blogoddal + Facebook, Reddit
  • Tweeteljen!
Szóval nagyon köszönöm a támogatást, olvasóm. Nem fog több időt igénybe venni 10 másodpercnél. A megosztási gombok közvetlenül lent találhatók. :)