Cara Menggunakan Monitor Proses untuk Melacak Perubahan Registri dan Sistem Fail

Process Monitor adalah alat penyelesaian masalah yang sangat baik dari Windows Sysinternals yang memaparkan fail dan kunci pendaftaran yang diakses oleh aplikasi dalam masa nyata. Hasilnya dapat disimpan ke file log, yang dapat Anda kirimkan kepada pakar untuk menganalisis masalah dan menyelesaikannya.

Berikut adalah panduan cara menangkap capaian pendaftaran dan sistem fail oleh aplikasi, dan menghasilkan fail log menggunakan Monitor Proses untuk analisis lebih lanjut.

Gunakan Monitor Proses untuk Mengesan Perubahan Registri dan Sistem Fail

Senario: Anggap anda tidak dapat menulis ke fail HOSTS dengan jayanya di Windows, dan ingin mengetahui apa yang berlaku di bawahnya. Setiap langkah dalam artikel berikut berkisar pada senario contoh ini.

Langkah 1: Menjalankan Monitor Proses & Mengkonfigurasi Penapis

  1. Muat turun Monitor Proses dari laman Windows Sysinternals .
  2. Ekstrak kandungan fail zip ke folder pilihan anda.
  3. Jalankan aplikasi Process Monitor
  4. Sertakan proses yang ingin anda lacak aktiviti. Untuk contoh ini, anda mahu memasukkan Notepad.exe dalam (Sertakan) Penapis.

  5. Klik Tambah, dan klik OK .

    Petua: Anda juga boleh menambah beberapa entri, sekiranya anda ingin menjejaki beberapa proses bersama dengan Notepad.exe . Untuk menjadikan contoh ini lebih mudah, mari kita menjejaki Notepad.exe .

    (Anda sekarang akan melihat tetingkap utama Monitor Proses melacak senarai pendaftaran dan akses fail dengan proses secara real-time, seperti dan bagaimana ia berlaku.)

  6. Dari menu Pilihan, klik Pilih Lajur .
  7. Di bawah "Perincian Acara", aktifkan Nombor Urutan, dan klik OK .

Langkah 2: Menangkap Acara

  1. Buka Notepad.
  2. Tukar ke tetingkap Monitor Proses.
  3. Aktifkan mod "Tangkap" (jika belum aktif). Anda dapat melihat status mod "Tangkap" melalui bar alat Process Monitor.

    Butang yang diserlahkan di atas adalah butang "Tangkap", yang kini dilumpuhkan. Anda perlu mengklik butang itu (atau menggunakan urutan kekunci Ctrl + E) untuk membolehkan menangkap peristiwa.

  4. Bersihkan senarai peristiwa yang ada menggunakan urutan kekunci Ctrl + X (Penting) dan mulakan semula
  5. Sekarang beralih ke Notepad dan cuba buat semula masalahnya .

    Untuk menghasilkan semula masalah (untuk contoh ini), cuba tulis ke fail HOSTS ( C:\Windows\System32\Drivers\Etc\HOSTS ) dan simpannya. Windows menawarkan untuk menyimpan fail (dengan menunjukkan dialog Save As) dengan nama lain, atau di lokasi lain .

    $config[ads_text6] not found

    Jadi, apa yang berlaku di bawah tudung semasa anda menyimpan ke fail HOSTS? Monitor Proses menunjukkan bahawa betul.

  6. Tukar ke tetingkap Monitor Proses, dan matikan Menangkap (Ctrl + E) sebaik sahaja anda mengeluarkan masalah. Catatan Penting: Jangan mengambil banyak masa untuk menghasilkan semula masalah setelah mengaktifkan menangkap. Begitu juga matikan rakaman sebaik sahaja anda selesai mengemukakan masalah. Ini untuk mengelakkan Monitor Proses merekodkan data lain yang tidak diperlukan (yang menjadikan bahagian analisis lebih sukar). Anda perlu melakukan semua itu secepat yang anda boleh.

    Penyelesaian: Fail log di atas memberitahu kami bahawa Notepad mengalami ralat ACCESS DENIED ketika menulis ke fail HOSTS . Penyelesaiannya adalah dengan menjalankan Notepad yang ditinggikan (klik kanan dan pilih "Run as Administrator") agar dapat menulis ke fail HOSTS jayanya.

Langkah 3: Menyimpan Hasil

  1. Di tetingkap Monitor Proses, pilih menu Fail dan klik Simpan
  2. Pilih Native Process Monitor Format (PML), sebutkan nama fail output dan Path, simpan fail.

  3. Klik kanan pada fail Logfile.PML, klik Hantar Ke, dan pilih Compressed (zipped) folder . Ini memampatkan fail sebanyak ~90% . Lihat grafik di bawah. Anda pasti mahu zip fail log sebelum menghantarnya kepada seseorang.

Catatan editor: Saya biasanya menyarankan klien saya untuk menyimpan log dengan pilihan Semua acara supaya saya dapat banyak pilihan untuk menyelesaikan masalah komputer subjek dengan berkesan. Sekiranya anda akan menghantar saya log Monitor Proses, pastikan anda mengaktifkan pilihan Semua Peristiwa semasa menyimpan fail log. Juga, jangan lupa memampatkan (.zip) fail log sebelum menghantar.

Itu sahaja, pembaca. Untuk memastikan dokumentasi mudah, saya telah menggunakan contoh yang paling mudah sehingga pengguna akhir memahami dengan jelas bagaimana mengesan peristiwa sistem pendaftaran dan fail dengan menggunakan Monitor Proses & menghasilkan fail log.

Artikel Berkaitan