Kako uporabljati nadzornik procesov za sledenje spremembam registra in datotečnega sistema

MiscellaneaDec 20, 2021

Process Monitor je odlično orodje za odpravljanje težav iz sistema Windows Sysinternals, ki prikazuje datoteke in registrske ključe, do katerih aplikacije dostopajo v realnem času. Rezultate lahko shranite v dnevniško datoteko, ki jo lahko pošljete strokovnjaku, da analizira težavo in jo odpravi.

Tukaj je vodnik o tem, kako zajeti dostope do registra in datotečnega sistema s strani aplikacij ter ustvariti dnevniško datoteko z uporabo Process Monitorja za nadaljnjo analizo.

Uporabite Nadzornik procesov za sledenje spremembam registra in datotečnega sistema

Scenarij: Predpostavimo, da ne morete pisati na gostitelji uspešno datoteko v sistemu Windows in želite vedeti, kaj se dogaja pod pokrovom. Vsak korak v naslednjem članku se vrti okoli tega vzorčnega scenarija.

1. korak: Zagon nadzora procesa in konfiguriranje filtrov

  1. Prenesi Monitor procesa od Windows Sysinternals spletno mesto.
  2. Izvlecite vsebino datoteke zip v mapo po vaši izbiri.
  3. Zaženite aplikacijo Process Monitor
  4. Vključite procese, na katerih želite slediti dejavnosti. Za ta primer želite vključiti Notepad.exe v (vključi) filtrih.
  5. Kliknite Dodajin kliknite v redu.

    Nasvet: Dodate lahko tudi več vnosov, če želite spremljati še nekaj procesov Notepad.exe. Da bo ta primer preprostejši, sledimo samo Notepad.exe.

  6. Iz Opcije meni, kliknite Izberite Stolpci.
  7. V razdelku »Podrobnosti o dogodku« omogočite Zaporedna številkain kliknite v redu.

2. korak: Zajem dogodkov

  1. Odprite Beležnico.
  2. Preklopite na okno Process Monitor.
  3. Omogočite način »Capture« (če še ni VKLOPLJEN). Status načina »Capture« si lahko ogledate prek orodne vrstice Process Monitor.

    Označeni gumb zgoraj je gumb »Zajemi«, ki je trenutno onemogočen. Ta gumb morate klikniti (ali uporabiti Ctrl + E zaporedje tipk), da omogočite zajem dogodkov.

    (Zdaj boste videli glavno okno Nadzornika procesov, ki zajema dogodke registra in datotek po procesih v realnem času, ko in ko se pojavijo.)

  4. Počistite obstoječi seznam dogodkov z uporabo Ctrl + X zaporedje tipk (Pomembno) in začnite znova
  5. Zdaj preklopite na beležnico in poskusite reproducirati problem.

    Če želite ponoviti težavo (za ta primer), poskusite pisati v datoteko HOSTS (C:\Windows\System32\Drivers\Etc\HOSTS) in ga shranite. Windows ponuja shranjevanje datoteke (s prikazom pogovornega okna Shrani kot) z drugim imenom ali na drugi lokaciji.

    Torej, kaj se zgodi pod pokrovom, ko shranite v datoteko HOSTS? Process Monitor to natančno kaže.

  6. Preklopite na okno Process Monitor in izklopite Capturing (Ctrl + E), takoj ko ponovite težavo.

    Pomembno: Ne vzemite si veliko časa za reprodukcijo težave, potem ko omogočite zajem. Podobno izklopite zajemanje, takoj ko končate s reprodukcijo težave. S tem preprečimo, da bi Process Monitor zabeležil druge nepotrebne podatke (kar otežuje del analize). Vse to morate storiti čim hitreje.

    rešitev: Zgornja datoteka dnevnika nam pove, da je Beležnica naletela na datoteko DOSTOP ZAVRNJEN napaka pri pisanju na gostitelji mapa. Rešitev bi bila, da preprosto zaženete Notepad v povišanem položaju (z desno miškino tipko kliknite in izberete »Zaženi kot skrbnik«), da bi lahko pisali v gostitelji datoteko uspešno.

3. korak: Shranjevanje izhoda

  1. V oknu Process Monitor izberite mapa meni in kliknite Shrani
  2. Izberite Native Process Monitor Format (PML), navedite ime izhodne datoteke in pot, shranite datoteko.
  3. Z desno miškino tipko kliknite na Dnevniška datoteka. PML datoteko, kliknite Pošlji in izberite Stisnjena (zipirana) mapa. To stisne datoteko za ~90%. Poglejte spodnjo grafiko. Vsekakor želite datoteko dnevnika stisniti, preden jo nekomu pošljete.

Opomba urednika: Običajno predlagam, da moje stranke shranijo dnevnik z Vsi dogodki možnost, da bo diagnoza natančnejša. Če mi boste poslali dnevnik nadzora procesov, se prepričajte, da ste omogočili Vsi dogodki možnost pri shranjevanju datoteke dnevnika. Prav tako ne pozabite najprej stisniti (.zip) datoteke dnevnika.

To je to, bralci. Da bi bila dokumentacija preprosta, sem uporabil najlažji primer, da ga končni uporabnik razume jasno, kako učinkovito slediti dogodkom registra in datotečnega sistema z uporabo Process Monitorja in ustvariti dnevniško datoteko.

Ena majhna prošnja: če vam je bila objava všeč, jo delite?

En "droben" vaš delež bi resno pomagal pri rasti tega bloga. Nekaj ​​odličnih predlogov:
  • Pripnete!
  • Delite ga na svoj najljubši blog + Facebook, Reddit
  • Tweetajte!
Najlepša hvala za vašo podporo, moj bralec. Ne bo vzelo več kot 10 sekund vašega časa. Gumbi za skupno rabo so spodaj. :)