Содержание
Process Monitor — отличный инструмент для устранения неполадок от Windows Sysinternals, который отображает файлы и ключи реестра, к которым приложения обращаются в режиме реального времени. Результаты могут быть сохранены в файле журнала, который вы можете отправить эксперту для анализа проблемы и ее устранения.
Вот руководство о том, как фиксировать обращения к реестру и файловой системе приложениями и генерировать файл журнала, используя Process Monitor для дальнейшего анализа.
Используйте Process Monitor для отслеживания изменений в реестре и файловой системе
Сценарий: Предположим, что вы не можете успешно записать файл HOSTS в Windows и хотите узнать, что происходит внутри. Каждый шаг в следующей статье вращается вокруг этого примера сценария.
Шаг 1: Запуск Process Monitor Настройка фильтров
- Загрузите Process Monitor с сайта Windows Sysinternals.
- Извлеките содержимое файла zip в папку по вашему выбору.
- Запустите приложение Process Monitor
- Включите процессы, которые вы хотите отслеживать действия. Для этого примера вы хотите включить
Notepad.exeв (Включить) Фильтры.
- Нажмите «Добавить» и нажмите «ОК».
Чаевые: Вы также можете добавить несколько записей, если вы хотите отслеживать еще несколько процессов вместе с
Notepad.exe, Чтобы сделать этот пример проще, давайте только отслеживатьNotepad.exe,(Теперь вы увидите главное окно Process Monitor, отслеживающее список обращений к реестру и файлам по процессам в режиме реального времени, а также по каким причинам они происходят.)
- В меню «Параметры» выберите «Выбрать столбцы».
- В разделе «Сведения о событии» включите порядковый номер и нажмите «ОК».
Шаг 2: Захват событий
- Откройте Блокнот.
- Переключиться в окно Process Monitor.
- Включите режим «Захват» (если он еще не включен). Вы можете увидеть состояние режима «Захват» через панель инструментов Process Monitor.
Выделенная кнопка выше — это кнопка «Захват», которая в данный момент отключена. Вам нужно нажать эту кнопку (или использовать комбинацию клавиш Ctrl + E), чтобы включить захват событий. - Очистите существующий список событий с помощью комбинации клавиш Ctrl + X (важно) и начните заново
- Теперь переключитесь на Блокнот и попробуйте воспроизвести проблему.
Чтобы воспроизвести проблему (для этого примера), попробуйте записать в файл HOSTS (
C:\Windows\System32\Drivers\Etc\HOSTS) и сохраняю его. Windows предлагает сохранить файл (показывая диалоговое окно «Сохранить как») под другим именем или в другом месте.Итак, что происходит под капотом при сохранении в файл HOSTS? Монитор процессов показывает это точно.
- Переключитесь в окно Process Monitor и выключите Capturing (Ctrl + E), как только вы воспроизведете проблему.
Важное примечание: не занимайте много времени, чтобы воспроизвести проблему после включения захвата. Аналогичным образом отключите захват, как только закончите воспроизведение проблемы. Это сделано для того, чтобы Process Monitor не мог записывать другие ненужные данные (что усложняет анализ). Вы должны сделать все это как можно быстрее.Решение: Файл журнала выше говорит нам, что Блокнот обнаружил
ACCESS DENIEDошибка при записи вHOSTSфайл. Решение состоит в том, чтобы просто запустить Блокнот с повышенными правами (щелкните правой кнопкой мыши и выберите «Запуск от имени администратора»), чтобы иметь возможность записи вHOSTSфайл успешно
Шаг 3: Сохранение вывода
- В окне «Монитор процессов» выберите меню «Файл» и нажмите «Сохранить».
- Выберите Native Process Monitor Format (PML), укажите имя выходного файла и путь, сохраните файл.
- Щелкните правой кнопкой мыши на
Logfile.PMLнажмите кнопку «Отправить» и выберитеCompressed (zipped) folder, Это сжимает файл~90%, Посмотрите на рисунок ниже. Вы, конечно, хотите сжать файл журнала перед отправкой кому-то.
Вот и все, читатели. Для простоты документации я использовал самый простой пример, чтобы конечный пользователь четко понимал, как эффективно отслеживать события реестра и файловой системы с помощью Process Monitor создать файл журнала.
