Як використовувати моніторинг процесів для відстеження змін реєстру та файлової системи

Process Monitor — це чудовий інструмент для усунення несправностей від Windows Sysinternals, який відображає файли та ключі реєстру, до яких програми звертаються в режимі реального часу. Результати можна зберегти у файл журналу, який можна надіслати експерту для аналізу проблеми та її усунення.

Ось інструкція щодо того, як зафіксувати доступ до реєстру та файлової системи програмами та створити файл журналу за допомогою Process Monitor для подальшого аналізу.

Використовуйте моніторинг процесів для відстеження змін реєстру та файлової системи

Сценарій: Припустимо, ви не можете написати на ГОСПОДАРІ файл успішно в Windows, і ви хочете знати, що відбувається під капотом. Кожен крок у наступній статті обертається навколо цього прикладу сценарію.

Крок 1. Запуск моніторингу процесу та налаштування фільтрів

1. Завантажити Монітор процесу від Windows Sysinternals сайт.
2. Розпакуйте вміст zip-файлу в папку на ваш вибір.
3. Запустіть програму Process Monitor
4. Включіть процеси, за якими ви хочете відстежувати діяльність. Для цього прикладу потрібно включити Notepad.exe у фільтрах (Включити).
   
5. Натисніть Додатиі натисніть добре.

   Порада: Ви також можете додати кілька записів, якщо ви хочете відстежувати ще кілька процесів разом з Notepad.exe. Щоб зробити цей приклад простішим, давайте лише відстежимо Notepad.exe.

6. Від Параметри меню, клацніть Виберіть Стовпці.
7. У розділі «Відомості про подію» увімкніть Порядковий номері натисніть добре.
   

Крок 2: Зйомка подій

1. Відкрийте Блокнот.
2. Перейдіть до вікна Монітор процесу.
3. Увімкніть режим «Захоплення» (якщо він ще не ввімкнено). Ви можете побачити стан режиму «Capture» на панелі інструментів «Монітор процесу».
   

   Виділена кнопка вище — це кнопка «Захоплення», яка наразі вимкнена. Вам потрібно натиснути цю кнопку (або використати Ctrl + Е послідовність клавіш), щоб увімкнути запис подій.

   (Тепер ви побачите головне вікно моніторингу процесів, яке фіксує події реєстру та файлів процесами в режимі реального часу, коли вони відбуваються.)

4. Очистіть наявний список подій за допомогою Ctrl + X послідовність клавіш (Важливо) і почніть заново
5. Тепер перейдіть у Блокнот і спробуйте відтворити проблему.

   Щоб відтворити проблему (для цього прикладу), спробуйте записати у файл HOSTS (C:\Windows\System32\Drivers\Etc\HOSTS) і зберегти його. Windows пропонує зберегти файл (відображаючи діалогове вікно «Зберегти як») з іншою назвою або в іншому місці.

   Отже, що відбувається під капотом, коли ви зберігаєте у файл HOSTS? Монітор процесів показує це точно.

   
6. Перейдіть до вікна Монітор процесу та вимкніть Зйомка (Ctrl + Е), як тільки ви відтворите проблему.

   Важливо: Не витрачайте багато часу на відтворення проблеми після ввімкнення зйомки. Аналогічно, вимкніть зйомку, щойно завершите відтворення проблеми. Це робиться для того, щоб Process Monitor не записував інші непотрібні дані (що ускладнює аналізову частину). Вам потрібно зробити все це якомога швидше.

   Рішення: У файлі журналу вище повідомляється, що Блокнот зіткнувся з файлом ДОСТУП ЗАБОРОНЕНО помилка під час запису в ГОСПОДАРІ файл. Рішення полягало б у тому, щоб просто запустити Блокнот з підвищеним рівнем (клацніть правою кнопкою миші та виберіть «Запуск від імені адміністратора»), щоб мати можливість писати в ГОСПОДАРІ файл успішно.

Крок 3: Збереження результату

1. У вікні Монітор процесу виберіть Файл меню і натисніть Зберегти
2. Виберіть Вбудований формат моніторингу процесів (PML), вкажіть назву вихідного файлу та шлях, збережіть файл.
   
3. Клацніть правою кнопкою миші на лог-файл. ПМЛ файл, натисніть Надіслати та виберіть Стиснута (заархівована) папка. Це стискає файл на ~90%. Подивіться на графік нижче. Ви, безумовно, хочете заархівувати файл журналу, перш ніж надіслати його комусь.
   

Примітка редактора: Зазвичай я пропоную своїм клієнтам зберегти журнал за допомогою файлу Усі події варіант, щоб діагноз був більш точним. Якщо ви збираєтеся надіслати мені журнал моніторингу процесів, переконайтеся, що ви ввімкнули Усі події параметр під час збереження файлу журналу. Також не забудьте спочатку стиснути (.zip) файл журналу.

Ось і все, читачі. Щоб документація була простою, я використав найпростіший приклад, щоб кінцевий користувач зрозумів чітко, як ефективно відстежувати події реєстру та файлової системи за допомогою Process Monitor та генерувати файл журналу.