Jak pomocí nástroje Process Monitor sledovat změny registru a souborového systému - Winhelponline

How Use Process Monitor Track Registry

Process Monitor je vynikající nástroj pro řešení potíží od Windows Sysinternals, který zobrazuje soubory a klíče registru, ke kterým aplikace přistupují v reálném čase. Výsledky lze uložit do souboru protokolu, který můžete odeslat odborníkovi pro analýzu problému a jeho řešení.





Zde je průvodce, jak aplikace zachytit přístupy k registru a souborovému systému a vygenerovat soubor protokolu pomocí nástroje Process Monitor pro další analýzu.



Pomocí nástroje Process Monitor můžete sledovat změny registru a systému souborů

Scénář: Předpokládejme, že nejste schopni psát do HOSTS soubor úspěšně v systému Windows a chcete vědět, co se děje pod kapotou. Každý krok v následujícím článku se točí kolem tohoto ukázkového scénáře.

Krok 1: Spuštění nástroje Process Monitor a konfigurace filtrů

  1. Stažení Monitorování procesu z Windows Sysinternals stránky.
  2. Extrahujte obsah souboru zip do složky podle vašeho výběru.
  3. Spusťte aplikaci Process Monitor
  4. Zahrňte procesy, na kterých chcete aktivitu sledovat. V tomto příkladu chcete zahrnout Notepad.exe ve filtrech (Zahrnout).
  5. Klepněte na Přidat a klepněte na OK .

    Spropitné: Můžete také přidat více položek, pokud chcete sledovat několik dalších procesů spolu s Notepad.exe . Aby byl tento příklad jednodušší, pojďme jen sledovat Notepad.exe .

    (Nyní uvidíte hlavní okno Process Monitor, které sleduje seznam přístupů k registrům a souborům podle procesů v reálném čase, jak se vyskytují a syrovátky.)



  6. Z Možnosti v nabídce klikněte na Vyberte sloupce .
  7. V části Podrobnosti události povolte Pořadové číslo a klepněte na OK .

Krok 2: Zachycení událostí

  1. Otevřete Poznámkový blok.
  2. Přepněte do okna Process Monitor.
  3. Aktivujte režim „Zachytit“ (pokud ještě není ZAPNUTÝ). Stav režimu „Capture“ můžete zobrazit na panelu nástrojů Process Monitor.
    Zvýrazněné tlačítko výše je tlačítko „Zachytit“, které je aktuálně deaktivováno. Chcete-li povolit zachycení událostí, musíte kliknout na toto tlačítko (nebo použít kombinaci kláves Ctrl + E).
  4. Vyčistěte stávající seznam událostí pomocí klávesové zkratky Ctrl + X (Důležité) a začít znovu
  5. Nyní přepněte na Poznámkový blok a zkuste to reprodukovat problém .

    Chcete-li problém reprodukovat (v tomto příkladu), zkuste zapsat do souboru HOSTS ( C: Windows System32 Drivers Etc HOSTS ) a jeho uložení. Systém Windows nabízí uložení souboru (zobrazením dialogového okna Uložit jako) pod jiným názvem nebo na jiném místě .

    Co se tedy stane pod kapotou, když ukládáte do souboru HOSTS? Process Monitor to ukazuje přesně.

  6. Přepněte do okna Process Monitor a vypněte Capturing (Ctrl + E), jakmile problém zopakujete. Důležitá poznámka: Po povolení zachycení se nestarejte o reprodukci problému. Podobně vypněte snímání, jakmile dokončíte reprodukci problému. To zabrání tomu, aby Process Monitor zaznamenal další nepotřebná data (což ztěžuje část analýzy). Musíte to udělat co nejrychleji.

    Řešení: Výše uvedený soubor protokolu nám říká, že Poznámkový blok narazil na PŘÍSTUP ODEPŘEN chyba při zápisu do HOSTS soubor. Řešením by bylo jednoduše spustit Poznámkový blok se zvýšenou úrovní (kliknout pravým tlačítkem a zvolit „Spustit jako správce“), aby bylo možné zapisovat HOSTS soubor úspěšně.

Krok 3: Uložení výstupu

  1. V okně Process Monitor vyberte Soubor v nabídce a klikněte na Uložit
  2. Vybrat Nativní formát monitoru procesu (PML) , uveďte název výstupního souboru a cestu, soubor uložte.
  3. Klikněte pravým tlačítkem na ikonu Logfile.PML soubor, klikněte na Odeslat a vyberte Komprimovaná (zazipovaná) složka . Toto komprimuje soubor pomocí ~ 90% . Podívejte se na obrázek níže. Soubor protokolu určitě budete chtít před odesláním někomu zazipovat.

Poznámka redakce: Obvykle doporučuji svým klientům, aby uložili protokol s Všechny události možnost, abych mohl získat široké možnosti pro efektivní řešení potíží s počítačem. Pokud mi chcete zaslat protokol Process Monitor, nezapomeňte povolit Všechny události při ukládání souboru protokolu. Nezapomeňte také před odesláním komprimovat soubor protokolu (.zip).

To je vše, čtenáři. Aby byla dokumentace jednoduchá, použil jsem nejjednodušší příklad, aby koncový uživatel jasně pochopil, jak efektivně sledovat události registru a systému souborů pomocí nástroje Process Monitor a generovat soubor protokolu.


Jedna malá žádost: Pokud se vám tento příspěvek líbil, sdílejte ho prosím?

Jedno „malé“ sdílení od vás by vážně hodně pomohlo s růstem tohoto blogu. Několik skvělých návrhů:
  • Připnout!
  • Sdílejte to na svém oblíbeném blogu + Facebook, Reddit
  • Tweetujte to!
Moc vám děkuji za podporu, čtenáři. Nebude to trvat déle než 10 sekund vašeho času. Tlačítka pro sdílení jsou vpravo dole. :)