Hoe Process Monitor te gebruiken om register- en bestandssysteemwijzigingen bij te houden

DiversenDec 20, 2021
click fraud protection

Process Monitor is een uitstekend hulpmiddel voor het oplossen van problemen van Windows Sysinternals dat de bestanden en registersleutels weergeeft waartoe toepassingen toegang hebben in realtime. De resultaten kunnen worden opgeslagen in een logbestand, dat u naar een expert kunt sturen om een ​​probleem te analyseren en op te lossen.

Hier is een handleiding voor het vastleggen van toegang tot het register en het bestandssysteem door toepassingen en het genereren van een logbestand met Process Monitor voor verdere analyse.

Gebruik Process Monitor om register- en bestandssysteemwijzigingen bij te houden

Scenario: Laten we aannemen dat u niet kunt schrijven naar de HOSTS bestand met succes in Windows, en wil weten wat er onder de motorkap gebeurt. Elke stap in het volgende artikel draait om dit voorbeeldscenario.

Stap 1: Procesmonitor uitvoeren en filters configureren

  1. Downloaden Procesmonitor van Windows Sysinternals plaats.
  2. Pak de inhoud van het zipbestand uit naar een map naar keuze.
  3. Voer de toepassing Procesmonitor uit
  4. Voeg de processen toe waarop u de activiteit wilt volgen. Voor dit voorbeeld wilt u: Notepad.exe in de (Inclusief) Filters.
  5. Klik Toevoegenen klik op oke.

    Tip: U kunt ook meerdere vermeldingen toevoegen, voor het geval u nog een paar processen wilt volgen Notepad.exe. Om dit voorbeeld eenvoudiger te houden, laten we alleen volgen Notepad.exe.

  6. Van de Opties menu, klik op Selecteer kolommen.
  7. Schakel onder "Gebeurtenisdetails" Volgnummeren klik op oke.

Stap 2: Gebeurtenissen vastleggen

  1. Kladblok openen.
  2. Schakel over naar het venster Procesmonitor.
  3. Schakel de modus "Capture" in (als deze nog niet is ingeschakeld). U kunt de status van de "Capture"-modus zien via de Process Monitor-werkbalk.

    De gemarkeerde knop hierboven is de knop "Opnemen", die momenteel is uitgeschakeld. U moet op die knop klikken (of gebruiken Ctrl + E toetsreeks) om het vastleggen van gebeurtenissen mogelijk te maken.

    (U ziet nu het hoofdvenster van Process Monitor waarin register- en bestandsgebeurtenissen worden vastgelegd door processen in realtime, wanneer en wanneer ze zich voordoen.)

  4. Ruim de bestaande evenementenlijst op met Ctrl + x toetsenreeks (Belangrijk) en opnieuw beginnen
  5. Schakel nu over naar Kladblok en probeer: reproduceer het probleem.

    Om het probleem te reproduceren (voor dit voorbeeld), probeert u te schrijven naar het HOSTS-bestand (C:\Windows\System32\Drivers\Etc\HOSTS) en op te slaan. Windows biedt aan om het bestand op te slaan (door het dialoogvenster Opslaan als weer te geven) met een andere naam of op een andere locatie.

    Dus, wat gebeurt er onder de motorkap als je opslaat in een HOSTS-bestand? Process Monitor laat dat precies zien.

  6. Schakel over naar het venster Procesmonitor en schakel Vastleggen uit (Ctrl + E) zodra u het probleem reproduceert.

    Belangrijk: Neem niet veel tijd om het probleem te reproduceren nadat u het vastleggen hebt ingeschakeld. Schakel op dezelfde manier het vastleggen uit zodra u klaar bent met het reproduceren van het probleem. Dit om te voorkomen dat Process Monitor andere onnodige gegevens vastlegt (wat het analysegedeelte moeilijker maakt). Dat moet je allemaal zo snel mogelijk doen.

    Oplossing: Het logbestand hierboven vertelt ons dat Kladblok een TOEGANG GEWEIGERD fout bij het schrijven naar de HOSTS het dossier. De oplossing zou zijn om Kladblok eenvoudig verhoogd uit te voeren (klik met de rechtermuisknop en kies "Uitvoeren als beheerder") om te kunnen schrijven naar HOSTS bestand succesvol.

Stap 3: De uitvoer opslaan

  1. Selecteer in het venster Procesmonitor de Bestand menu en klik op Sparen
  2. Selecteer Native Process Monitor-indeling (PML), vermeld de naam van het uitvoerbestand en Pad, sla het bestand op.
  3. Klik met de rechtermuisknop op de Logbestand. PML bestand, klik op Verzenden naar en kies Gecomprimeerde (gezipte) map. Dit comprimeert het bestand door ~90%. Kijk naar de onderstaande grafiek. U wilt het logbestand zeker zippen voordat u het naar iemand verzendt.

Opmerking van de uitgever: Ik raad mijn klanten meestal aan om het logboek op te slaan met de Alle evenementen optie, zodat de diagnose nauwkeuriger kan zijn. Als u mij een Process Monitor-log wilt sturen, zorg er dan voor dat u de Alle evenementen optie bij het opslaan van het logbestand. Vergeet ook niet eerst het logboekbestand te comprimeren (.zip).

Dat is het, lezers. Om de documentatie eenvoudig te houden, heb ik het gemakkelijkste voorbeeld gebruikt, zodat een eindgebruiker het begrijpt duidelijk hoe u register- en bestandssysteemgebeurtenissen efficiënt kunt volgen met behulp van Process Monitor en de logbestand.

Een klein verzoek: als je dit bericht leuk vond, deel dit dan?

Een "klein" aandeel van jou zou serieus enorm helpen bij de groei van deze blog. Enkele geweldige suggesties:
  • Speld het!
  • Deel het op je favoriete blog + Facebook, Reddit
  • Tweet het!
Dus heel erg bedankt voor je steun, mijn lezer. Het kost niet meer dan 10 seconden van uw tijd. Rechtsonder vind je de deelknoppen. :)