Ako používať Monitor procesov na sledovanie zmien v registri a systéme súborov

RôzneDec 20, 2021
click fraud protection

Process Monitor je vynikajúci nástroj na riešenie problémov od Windows Sysinternals, ktorý zobrazuje súbory a kľúče databázy Registry, ku ktorým aplikácie pristupujú v reálnom čase. Výsledky možno uložiť do súboru denníka, ktorý môžete poslať odborníkovi na analýzu problému a jeho odstraňovanie.

Tu je návod, ako zachytiť prístupy aplikácií do registra a súborového systému a vygenerovať protokolový súbor pomocou nástroja Process Monitor na ďalšiu analýzu.

Pomocou nástroja Process Monitor môžete sledovať zmeny v registri a systéme súborov

Scenár: Predpokladajme, že nemôžete písať do HOSTITELIA súbor úspešne v systéme Windows a chcete vedieť, čo sa deje pod kapotou. Každý krok v nasledujúcom článku sa točí okolo tohto vzorového scenára.

Krok 1: Spustenie Monitorovania procesov a konfigurácia filtrov

  1. Stiahnuť ▼ Monitor procesov od Windows Sysinternals stránky.
  2. Extrahujte obsah súboru zip do priečinka podľa vlastného výberu.
  3. Spustite aplikáciu Process Monitor
  4. Zahrňte procesy, na ktorých chcete sledovať aktivitu. V tomto príklade chcete zahrnúť Notepad.exe v časti (Zahrnúť) Filtre.
  5. Kliknite Pridaťa kliknite na tlačidlo OK.

    Tip: Môžete pridať aj viacero záznamov v prípade, že chcete sledovať aj niekoľko ďalších procesov Notepad.exe. Aby bol tento príklad jednoduchší, poďme len sledovať Notepad.exe.

  6. Od možnosti menu, kliknite Vyberte položku Stĺpce.
  7. V časti Podrobnosti udalosti aktivujte Poradové čísloa kliknite na tlačidlo OK.

Krok 2: Zachytenie udalostí

  1. Otvorte Poznámkový blok.
  2. Prepnite do okna Process Monitor.
  3. Povoľte režim „Snímanie“ (ak ešte nie je ZAPNUTÝ). Stav režimu „Capture“ môžete vidieť prostredníctvom panela nástrojov Monitor procesu.

    Zvýraznené tlačidlo vyššie je tlačidlo „Capture“, ktoré je momentálne vypnuté. Musíte kliknúť na toto tlačidlo (alebo použiť Ctrl + E sekvencia kláves), aby ste umožnili zachytávanie udalostí.

    (Teraz uvidíte hlavné okno Process Monitor zachytávajúce udalosti registra a súborov podľa procesov v reálnom čase, ako a kedy nastanú.)

  4. Vyčistite existujúci zoznam udalostí pomocou Ctrl + X sekvencia kláves (Dôležité) a začnite odznova
  5. Teraz prepnite na Poznámkový blok a skúste to reprodukovať problém.

    Ak chcete problém reprodukovať (pre tento príklad), skúste zapísať do súboru HOSTS (C:\Windows\System32\Drivers\Etc\HOSTS) a uložte ho. Systém Windows ponúka uloženie súboru (zobrazením dialógového okna Uložiť ako) s iným názvom alebo na iné miesto.

    Čo sa teda stane pod kapotou, keď uložíte súbor HOSTS? Process Monitor to presne ukazuje.

  6. Prepnite sa do okna Process Monitor a vypnite Capturing (Ctrl + E) len čo zopakujete problém.

    Dôležité: Po povolení snímania netrvajte veľa času na reprodukovanie problému. Podobne vypnite zachytávanie hneď po dokončení reprodukovania problému. Toto má zabrániť Process Monitor zaznamenávať ďalšie nepotrebné údaje (čo sťažuje časť analýzy). To všetko musíte urobiť čo najrýchlejšie.

    Riešenie: Vyššie uvedený súbor denníka nám hovorí, že Poznámkový blok narazil na PRÍSTUP ZAMIETNUTÝ chyba pri písaní do HOSTITELIA súbor. Riešením by bolo jednoducho spustiť Poznámkový blok zvýšený (kliknite pravým tlačidlom myši a vyberte možnosť „Spustiť ako správca“), aby ste mohli zapisovať do HOSTITELIA súbor úspešne.

Krok 3: Uloženie výstupu

  1. V okne Monitor procesu vyberte položku Súbor menu a kliknite Uložiť
  2. Vyberte Natívny formát monitora procesov (PML), uveďte názov výstupného súboru a cestu, súbor uložte.
  3. Kliknite pravým tlačidlom myši na Logfile. PML súbor, kliknite na Odoslať a vyberte Komprimovaný (zazipovaný) priečinok. Toto komprimuje súbor pomocou ~90%. Pozrite sa na grafiku nižšie. Pred odoslaním súboru denníka určite chcete zazipovať.

Poznámka redakcie: Svojim klientom zvyčajne navrhujem, aby si denník uložili pomocou súboru Všetky udalosti možnosť, aby mohla byť diagnóza presnejšia. Ak mi chcete poslať protokol Monitor procesov, uistite sa, že ste povolili Všetky udalosti možnosť pri ukladaní súboru denníka. Tiež nezabudnite najprv komprimovať (.zip) súbor denníka.

To je všetko, čitatelia. Aby bola dokumentácia jednoduchá, použil som najjednoduchší príklad, aby to koncový používateľ pochopil jasne ako efektívne sledovať udalosti registra a súborového systému pomocou Process Monitor & generovať log súbor.

Jedna malá prosba: Ak sa vám tento príspevok páčil, zdieľajte ho?

Jedno "drobné" zdieľanie od vás by vážne pomohlo rastu tohto blogu. Niekoľko skvelých návrhov:
  • Pripnúť!
  • Zdieľajte to na svojom obľúbenom blogu + Facebook, Reddit
  • Tweetujte!
Takže veľmi pekne ďakujem za podporu, môj čitateľ. Nezaberie vám to viac ako 10 sekúnd vášho času. Tlačidlá zdieľania sú nižšie. :)