כיצד להשתמש ב-Process Monitor כדי לעקוב אחר שינויים ברישום ובמערכת הקבצים

MiscellaneaDec 20, 2021

Process Monitor הוא כלי מצוין לפתרון בעיות מבית Windows Sysinternals המציג את הקבצים ומפתחות הרישום אליהם יישומים ניגשים בזמן אמת. את התוצאות ניתן לשמור בקובץ יומן, אותו ניתן לשלוח למומחה לצורך ניתוח בעיה ופתרון תקלות.

להלן מדריך כיצד ללכוד גישה לרישום ולמערכת הקבצים לפי יישומים, וליצור קובץ יומן באמצעות Process Monitor לניתוח נוסף.

השתמש ב-Process Monitor כדי לעקוב אחר שינויים ברישום ובמערכת הקבצים

תַרחִישׁ: נניח שאינך מסוגל לכתוב ל- מארחים קובץ בהצלחה ב-Windows, ורוצה לדעת מה קורה מתחת למכסה המנוע. כל שלב במאמר הבא סובב סביב תרחיש לדוגמה זה.

שלב 1: הפעלת צג תהליך והגדרת מסננים

  1. הורד צג תהליכים מ Windows Sysinternals אֲתַר.
  2. חלץ את תוכן קובץ ה-zip לתיקיה לבחירתך.
  3. הפעל את היישום Process Monitor
  4. כלול את התהליכים שברצונך לעקוב אחר הפעילות עליהם. עבור דוגמה זו, אתה רוצה לכלול Notepad.exe במסננים (כלול).
  5. נְקִישָׁה לְהוֹסִיף, ולחץ בסדר.

    עֵצָה: אתה יכול להוסיף מספר ערכים גם כן, למקרה שתרצה לעקוב אחר כמה תהליכים נוספים יחד עם Notepad.exe. כדי שהדוגמה הזו תהיה פשוטה יותר, בואו נעקוב רק Notepad.exe.

  6. מ ה אפשרויות תפריט, לחץ בחר עמודות.
  7. תחת "פרטי אירוע", הפעל מספר רצף, ולחץ בסדר.

שלב 2: לכידת אירועים

  1. פתח את פנקס הרשימות.
  2. עבור לחלון Process Monitor.
  3. הפעל את מצב "ללכוד" (אם הוא עדיין לא מופעל). אתה יכול לראות את המצב של מצב "ללכוד" דרך סרגל הכלים של צג התהליך.

    הכפתור המודגש למעלה הוא כפתור "ללכוד", אשר מושבת כעת. אתה צריך ללחוץ על הכפתור הזה (או להשתמש Ctrl + ה רצף מקשים) כדי לאפשר לכידת אירועים.

    (עכשיו תראה את החלון הראשי של Process Monitor לוכד אירועי רישום וקבצים לפי תהליכים בזמן אמת, כאשר הם מתרחשים.)

  4. נקה את רשימת האירועים הקיימת באמצעות Ctrl + איקס רצף מקשים (חָשׁוּב) והתחל מחדש
  5. כעת עבור לפנקס רשימות ונסה לעשות זאת לשחזר את הבעיה.

    כדי לשחזר את הבעיה (לדוגמה זו), נסה לכתוב לקובץ HOSTS (C:\Windows\System32\Drivers\Etc\HOSTS) ושמירת אותו. Windows מציע לשמור את הקובץ (על ידי הצגת תיבת הדו-שיח 'שמירה בשם') בשם אחר, או במיקום אחר.

    אז מה קורה מתחת למכסה המנוע כאשר אתה שומר בקובץ HOSTS? Process Monitor מראה את זה, בדיוק.

  6. עבור לחלון Process Monitor, וכבה את הצילום (Ctrl + ה) ברגע שאתה משחזר את הבעיה.

    חָשׁוּב: אל תיקח הרבה זמן כדי לשחזר את הבעיה לאחר הפעלת הלכידה. באופן דומה, כבה את הלכידה ברגע שתסיים לשחזר את הבעיה. זאת כדי למנוע מ-Process Monitor להקליט נתונים מיותרים אחרים (מה שמקשה על חלק הניתוח). אתה צריך לעשות את כל זה מהר ככל האפשר.

    פִּתָרוֹן: קובץ היומן שלמעלה אומר לנו שפנקס הרשימות נתקל ב- גישה נדחתה שגיאה בעת כתיבה ל- מארחים קוֹבֶץ. הפתרון יהיה פשוט להפעיל את פנקס הרשימות מוגבה (לחץ לחיצה ימנית ובחר "הפעל כמנהל") כדי להיות מסוגל לכתוב אל מארחים הקובץ בהצלחה.

שלב 3: שמירת הפלט

  1. בחלון Process Monitor, בחר את קוֹבֶץ תפריט ולחץ להציל
  2. בחר פורמט Native Process Monitor (PML), ציין את שם קובץ הפלט ואת הנתיב, שמור את הקובץ.
  3. לחץ לחיצה ימנית על קובץ לוג. PML קובץ, לחץ על שלח אל ובחר תיקייה דחוסה (מכווץ).. זה דוחס את הקובץ על ידי ~90%. תסתכל על הגרפיקה למטה. אתה בהחלט רוצה לדחוס את קובץ היומן לפני שליחתו למישהו.

הערת העורך: אני בדרך כלל מציע ללקוחות שלי לשמור את היומן עם כל האירועים אפשרות כדי שהאבחון יוכל להיות מדויק יותר. אם אתה מתכוון לשלוח לי יומן Process Monitor, ודא שאתה מפעיל את כל האירועים אפשרות בעת שמירת קובץ היומן. כמו כן, אל תשכח קודם לדחוס (.zip) את קובץ היומן.

זהו, קוראים. כדי לשמור על התיעוד פשוט, השתמשתי בדוגמה הקלה ביותר כדי שמשתמש קצה יבין ברור כיצד לעקוב ביעילות אחר אירועי הרישום ומערכת הקבצים באמצעות Process Monitor & ליצור את קובץ לוג.

בקשה קטנה אחת: אם אהבתם את הפוסט הזה, בבקשה שתפו אותו?

נתח "קטנטן" אחד ממך יעזור ברצינות לצמיחת הבלוג הזה. כמה הצעות נהדרות:
  • להצמיד אותו!
  • שתף אותו בבלוג האהוב עליך + פייסבוק, Reddit
  • צייץ את זה!
אז תודה רבה על תמיכתך, הקורא שלי. זה לא ייקח יותר מ-10 שניות מהזמן שלך. כפתורי השיתוף נמצאים ממש למטה. :)