როგორ გამოვიყენოთ პროცესის მონიტორი რეესტრისა და ფაილური სისტემის ცვლილებების თვალყურის დევნებისთვის

MiscellaneaDec 20, 2021

Process Monitor არის Windows Sysinternals-ის პრობლემების მოგვარების შესანიშნავი ინსტრუმენტი, რომელიც აჩვენებს ფაილებსა და რეესტრის გასაღებებს, რომლებზეც აპლიკაციები წვდებიან რეალურ დროში. შედეგები შეიძლება შეინახოს ჟურნალის ფაილში, რომელიც შეგიძლიათ გაუგზავნოთ ექსპერტს პრობლემის გასაანალიზებლად და პრობლემების გადასაჭრელად.

აქ არის გზამკვლევი, თუ როგორ უნდა აღბეჭდოთ რეესტრისა და ფაილური სისტემის წვდომა აპლიკაციების მიერ, და გენერიროთ ჟურნალის ფაილი Process Monitor-ის გამოყენებით შემდგომი ანალიზისთვის.

გამოიყენეთ პროცესის მონიტორი რეესტრისა და ფაილური სისტემის ცვლილებებზე თვალყურის დევნებისთვის

სცენარი: დავუშვათ, რომ თქვენ არ შეგიძლიათ მისწეროთ მასპინძლები წარმატებულად შეიტანეთ Windows-ში და გსურთ იცოდეთ რა ხდება ქუდის ქვეშ. მომდევნო სტატიაში ყოველი ნაბიჯი ტრიალებს ამ ნიმუშის სცენარის გარშემო.

ნაბიჯი 1: პროცესის მონიტორის გაშვება და ფილტრების კონფიგურაცია

  1. ჩამოტვირთვა პროცესის მონიტორი დან Windows Sysinternals საიტი.
  2. ამოიღეთ zip ფაილის შიგთავსი თქვენს მიერ არჩეულ საქაღალდეში.
  3. გაუშვით პროცესის მონიტორის აპლიკაცია
  4. ჩართეთ პროცესები, რომლებზეც გსურთ თვალყური ადევნოთ აქტივობას. ამ მაგალითისთვის, თქვენ გსურთ ჩართოთ Notepad.exe ფილტრებში (შეიცავს).
  5. დააწკაპუნეთ დამატებადა დააწკაპუნეთ კარგი.

    რჩევა: თქვენ ასევე შეგიძლიათ დაამატოთ მრავალი ჩანაწერი, იმ შემთხვევაში, თუ გსურთ თვალყური ადევნოთ კიდევ რამდენიმე პროცესს Notepad.exe. ამ მაგალითის უფრო მარტივი შესანარჩუნებლად, მოდით მივყვეთ მხოლოდ Notepad.exe.

  6. Დან Პარამეტრები მენიუ, დააწკაპუნეთ აირჩიეთ სვეტები.
  7. „მოვლენის დეტალების“ ქვეშ ჩართეთ მიმდევრობის ნომერიდა დააწკაპუნეთ კარგი.

ნაბიჯი 2: მოვლენების აღბეჭდვა

  1. გახსენით Notepad.
  2. გადაერთეთ პროცესის მონიტორის ფანჯარაზე.
  3. ჩართეთ "Capture" რეჟიმი (თუ ის უკვე არ არის ჩართული). თქვენ შეგიძლიათ ნახოთ "Capture" რეჟიმის სტატუსი პროცესის მონიტორის ხელსაწყოთა პანელის მეშვეობით.

    ზემოთ მონიშნული ღილაკი არის "Capture" ღილაკი, რომელიც ამჟამად გამორთულია. თქვენ უნდა დააჭიროთ ამ ღილაკს (ან გამოიყენოთ Ctrl + საკვანძო თანმიმდევრობა) მოვლენების აღბეჭდვის გასააქტიურებლად.

    (ახლა დაინახავთ პროცესის მონიტორის მთავარ ფანჯარას, რომელიც აღწერს რეესტრს და ფაილებს მოვლენებს პროცესების მიხედვით რეალურ დროში, როგორც და როდის მოხდება ისინი.)

  4. არსებული მოვლენების სიის გასუფთავება გამოყენებით Ctrl + X გასაღების თანმიმდევრობა (Მნიშვნელოვანი) და დაიწყე თავიდან
  5. ახლა გადადით Notepad-ზე და სცადეთ პრობლემის რეპროდუცირება.

    პრობლემის რეპროდუცირებისთვის (ამ მაგალითისთვის), სცადეთ ჩაწეროთ HOSTS ფაილში (C:\Windows\System32\Drivers\Etc\HOSTS) და შეინახეთ. Windows გთავაზობთ ფაილის შენახვას (შენახვა როგორც დიალოგის ჩვენებით) სხვა სახელით ან სხვა ადგილას.

    მაშ, რა ხდება ქუდის ქვეშ, როდესაც თქვენ შეინახავთ HOSTS ფაილს? პროცესის მონიტორი ზუსტად ამას აჩვენებს.

  6. გადადით პროცესის მონიტორის ფანჯარაზე და გამორთეთ გადაღება (Ctrl + ) პრობლემის რეპროდუცირებისთანავე.

    Მნიშვნელოვანი: არ დაუთმოთ დიდი დრო პრობლემის რეპროდუცირებას გადაღების ჩართვის შემდეგ. ანალოგიურად, გამორთეთ გადაღება, როგორც კი დაასრულებთ პრობლემის რეპროდუცირებას. ეს არის პროცესის მონიტორის თავიდან ასაცილებლად სხვა არასაჭირო მონაცემების ჩაწერა (რაც ართულებს ანალიზის ნაწილს). თქვენ უნდა გააკეთოთ ეს ყველაფერი რაც შეიძლება სწრაფად.

    გამოსავალი: ზემოთ მოყვანილი ჟურნალის ფაილი გვეუბნება, რომ Notepad შეექმნა ᲨᲔᲦᲬᲔᲕᲐ ᲣᲐᲠᲧᲝᲤᲘᲚᲘᲐ შეცდომა წერისას მასპინძლები ფაილი. გამოსავალი იქნება უბრალოდ გაუშვათ Notepad ამაღლებული (დააწკაპუნეთ მაუსის მარჯვენა ღილაკით და აირჩიეთ “Run as Administrator”), რომ შეგეძლოთ დაწეროთ მასპინძლები ფაილი წარმატებით.

ნაბიჯი 3: შენახვა გამომავალი

  1. პროცესის მონიტორის ფანჯარაში აირჩიეთ ფაილი მენიუ და დააწკაპუნეთ Შენახვა
  2. აირჩიეთ პროცესის მონიტორის ძირითადი ფორმატი (PML), მიუთითეთ გამომავალი ფაილის სახელი და გზა, შეინახეთ ფაილი.
  3. დააწკაპუნეთ მარჯვენა ღილაკით Logfile. PML ფაილი, დააჭირეთ გაგზავნას და აირჩიეთ შეკუმშული (zipped) საქაღალდე. ეს შეკუმშავს ფაილს ~90%. შეხედეთ ქვემოთ მოცემულ გრაფიკას. თქვენ, რა თქმა უნდა, გსურთ ჩაწეროთ ჟურნალის ფაილი, სანამ ვინმეს გაუგზავნით.

რედაქტორის შენიშვნა: მე ჩვეულებრივ ვთავაზობ ჩემს კლიენტებს შეინახონ ჟურნალი ყველა მოვლენა ვარიანტი, რათა დიაგნოზი უფრო ზუსტი იყოს. თუ თქვენ აპირებთ გამომიგზავნოთ პროცესის მონიტორის ჟურნალი, დარწმუნდით, რომ ჩართეთ ყველა ღონისძიება ვარიანტი ჟურნალის ფაილის შენახვისას. ასევე, არ დაგავიწყდეთ შეკუმშვა (.zip) ჟურნალის ფაილის ჯერ.

ესე იგი, მკითხველო. დოკუმენტაციის მარტივი შესანარჩუნებლად, მე გამოვიყენე უმარტივესი მაგალითი, რათა საბოლოო მომხმარებელმა გაიგოს ნათლად როგორ აკონტროლოთ რეესტრისა და ფაილური სისტემის მოვლენები პროცესის მონიტორის გამოყენებით და გენერირება ჟურნალის ფაილი.

ერთი პატარა მოთხოვნა: თუ მოგეწონათ ეს პოსტი, გთხოვთ გააზიაროთ?

თქვენგან ერთი "პატარა" გაზიარება სერიოზულად დაგეხმარება ამ ბლოგის ზრდაში. რამდენიმე შესანიშნავი წინადადება:
  • ჩამაგრება!
  • გააზიარეთ ის თქვენს საყვარელ ბლოგზე + Facebook, Reddit
  • ტვიტერში!
ასე რომ, დიდი მადლობა მხარდაჭერისთვის, ჩემო მკითხველო. თქვენი დროის 10 წამზე მეტი არ დასჭირდება. გაზიარების ღილაკები ზუსტად ქვემოთ არის. :)