Come utilizzare Process Monitor per tenere traccia delle modifiche al registro e al file system

VarieDec 20, 2021
click fraud protection

Process Monitor è un eccellente strumento di risoluzione dei problemi di Windows Sysinternals che visualizza i file e le chiavi di registro a cui le applicazioni accedono in tempo reale. I risultati possono essere salvati in un file di registro, che è possibile inviare a un esperto per analizzare un problema e risolverlo.

Ecco una guida su come acquisire gli accessi al registro e al file system da parte delle applicazioni e generare un file di registro utilizzando Process Monitor per ulteriori analisi.

Usa Process Monitor per tenere traccia delle modifiche al registro e al file system

Scenario: Supponiamo che tu non sia in grado di scrivere a OSPITI file con successo in Windows e vuoi sapere cosa sta succedendo sotto il cofano. Ogni passaggio del seguente articolo ruota attorno a questo scenario di esempio.

Passaggio 1: esecuzione di Process Monitor e configurazione dei filtri

  1. Scarica Monitor di processo a partire dal Windows Sysinternals luogo.
  2. Estrai il contenuto del file zip in una cartella a tua scelta.
  3. Esegui l'applicazione Process Monitor
  4. Includere i processi su cui si desidera monitorare l'attività. Per questo esempio, vuoi includere Blocco note.exe nei filtri (Includi).
  5. Clic Aggiungeree fare clic su ok.

    Consiglio: Puoi anche aggiungere più voci, nel caso in cui desideri tenere traccia di alcuni altri processi insieme a Blocco note.exe. Per semplificare questo esempio, teniamo traccia solo Blocco note.exe.

  6. Dal Opzioni menu, fare clic su Seleziona colonne.
  7. In "Dettagli evento", abilita Sequenza di numerie fare clic su ok.

Passaggio 2: acquisizione di eventi

  1. Apri Blocco note.
  2. Passa alla finestra Process Monitor.
  3. Abilita la modalità "Cattura" (se non è già attiva). È possibile visualizzare lo stato della modalità "Cattura" tramite la barra degli strumenti Process Monitor.

    Il pulsante evidenziato sopra è il pulsante "Cattura", che è attualmente disabilitato. Devi fare clic su quel pulsante (o utilizzare Ctrl + E sequenza di tasti) per consentire l'acquisizione degli eventi.

    (Ora vedrai la finestra principale di Process Monitor che acquisisce gli eventi del registro e dei file per processi in tempo reale, come e quando si verificano.)

  4. Pulisci l'elenco degli eventi esistenti usando Ctrl + X sequenza di tasti (Importante) e ricominciare
  5. Ora passa a Blocco note e prova a riprodurre il problema.

    Per riprodurre il problema (per questo esempio), prova a scrivere nel file HOSTS (C:\Windows\System32\Drivers\Etc\HOSTS) e salvandolo. Windows offre di salvare il file (mostrando la finestra di dialogo Salva con nome) con un nome diverso o in una posizione diversa.

    Quindi, cosa succede sotto il cofano quando salvi nel file HOSTS? Process Monitor lo mostra, esattamente.

  6. Passare alla finestra Process Monitor e disattivare Acquisizione (Ctrl + E) non appena si riproduce il problema.

    Importante: Non impiegare molto tempo per riprodurre il problema dopo aver abilitato l'acquisizione. Allo stesso modo, disattiva l'acquisizione non appena hai finito di riprodurre il problema. Questo per impedire a Process Monitor di registrare altri dati non necessari (il che rende più difficile la parte di analisi). Devi fare tutto il più velocemente possibile.

    Soluzione: Il file di registro sopra ci dice che Blocco note ha incontrato un ACCESSO NEGATO errore durante la scrittura su OSPITI file. La soluzione sarebbe semplicemente eseguire Blocco note con privilegi elevati (fare clic con il pulsante destro del mouse e scegliere "Esegui come amministratore") per poter scrivere su OSPITI file con successo.

Passaggio 3: salvataggio dell'output

  1. Nella finestra Process Monitor, selezionare il File menu e fare clic su Salva
  2. Selezionare Formato di monitoraggio dei processi nativo (PML), menziona il nome del file di output e il percorso, salva il file.
  3. Fare clic con il tasto destro del mouse su File di registro. PML file, fare clic su Invia a e scegliere Cartella compressa (zippata). Questo comprime il file di ~90%. Guarda il grafico qui sotto. Certamente vuoi comprimere il file di registro prima di inviarlo a qualcuno.

Nota dell'editore: Di solito suggerisco ai miei clienti di salvare il registro con il Tutti gli eventi opzione in modo che la diagnosi possa essere più accurata. Se hai intenzione di inviarmi un registro di Process Monitor, assicurati di abilitare il Tutti gli eventi opzione durante il salvataggio del file di registro. Inoltre, non dimenticare di comprimere (.zip) il file di registro prima.

Questo è tutto, lettori. Per mantenere la documentazione semplice, ho usato l'esempio più semplice in modo che un utente finale capisca chiaramente come monitorare in modo efficiente gli eventi del registro e del file system utilizzando Process Monitor e generare il file di registro.

Una piccola richiesta: se ti è piaciuto questo post, condividilo?

Una "piccola" condivisione da parte tua sarebbe di grande aiuto per la crescita di questo blog. Alcuni ottimi suggerimenti:
  • Fissalo!
  • Condividilo sul tuo blog preferito + Facebook, Reddit
  • Twittalo!
Quindi grazie mille per il tuo supporto, mio ​​lettore. Non ci vorranno più di 10 secondi del tuo tempo. I pulsanti di condivisione sono proprio sotto. :)