Форум программистов, компьютерный форум, киберфорум
Наши страницы

Windows

Войти
Регистрация
Восстановить пароль
 
Рейтинг: Рейтинг темы: голосов - 34, средняя оценка - 4.91
Chinaski_Henry
938 / 305 / 44
Регистрация: 25.02.2015
Сообщений: 981
#1

Как сделать лог Process Monitor - Windows

30.05.2015, 20:56. Просмотров 6694. Ответов 1
Метки нет (Все метки)

Как сделать лог Process Monitor?
1. Скачайте Process Monitor с сайта Sysinternals
2. Распакуйте архив и запустите файл ProcMon.exe
3. При запуске открывается окно с настройкой фильтров
Как сделать лог Process Monitor
В нем нажмите кнопку «Reset» что бы сбросить все настройки, т.к. возможно на вашем компьютере ранее запускался ProcMon, а фильтры с последнего запуска запоминаются. Нажмите ok.
4. По умолчанию включен захват событий, в этом можно убедиться на постоянно изменяющийся счетчик в строке состояния программы:
Как сделать лог Process Monitor
На скриншоте видим, что отображается 7506 событий из отобранных 13109. Так происходит потому что в ProcMon много фильтров включенных по умолчанию, исключающих например события самого ProcMon и других событий представляющих небольшой интерес для анализа.
5. Запустите проблемное ПО (программное обеспечение) и дождитесь появления ошибки.
6. Остановите захват событий в ProcMon нажав значок лупы или ctrl+E:
Как сделать лог Process Monitor
Запуск procMon и проблемной программы надо делать максимально быстро, т.к. размер файла и количество событий могут быть очень большими – это усложнит анализ.

7. В ProcMon нажмите File -> Save укажите путь для сохранения файла и нажмите ok:
Как сделать лог Process Monitor
Не сохраняйте файл в в других форматах, т.к. файл сохраненный например в CSV анализировать гораздо труднее, т.к. отсутствует возможность гибкой настройки фильтров.
8. Добавьте файл в архив и если позволяет размер прикрепите к своему сообщению на форуме, если же размер слишком велик выложите на файлообменник а в сообщении предоставьте ссылку.
8
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
30.05.2015, 20:56
Здравствуйте! Я подобрал для вас темы с ответами на вопрос Как сделать лог Process Monitor (Windows):

Исследование ошибки с Process Monitor 3.04 - Windows XP
Не хнватает кривизны рук и знаний отслидить ошибку. Прога перенесеная с другого копьютера не запускается . Помогите!!! ...

Warning H/W Monitor Status Abnormal - Windows XP
При загрузки ОС вылазит нечто: "***Warning H/W Monitor Status Abnormal*** Please enter the setup to check voltage, fanspeed or...

Как удалить значок Apache Monitor? - Windows 7
Всем привет. Меня интерисует вопрос, как удалить значок Apache. По факту на ПК его нет, он был удален. Но иконка в трее осталась. Поиск...

Hardware Monitor - Windows 7
Доброе время суток, у меня возникла проблема: При загрузке компьютера выходит надпись Hardware Monitor CPU Temp 80*C Дальше незагружается

Странные показания hw monitor - Windows 7
Здравствуйте. У сестры такой комп: win 7 32 разряда Intel Core 2 Quad Q6600 2.4 ГГц ОЗУ 1 гиг видеокарта NVIDIA GeForce 8600 GT ...

Программа как Process Monitor - Системный софт
Всем привет, помогите пожалуйста найти программу, которая позволит отследить создание файла программой. Смысл в том, что есть одна...

1
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
30.05.2015, 20:56
Привет! Вот еще темы с ответами:

Process Monitor - Системный софт
Пытаюсь освоить эту софтину. (По описанию вроде как она мне нужна.) При запуске ее, она мне в режиме реального времени отображает все...

Как взять title, process, process id активного окна? - C++ WinAPI
Хочу в этом switch, отловить title, process, process id. У меня есть 2 функции LRESULT CALLBACK CBTProc(int nCode, WPARAM wParam, LPARAM...

Как сделать лог интернет соединения Android приложения - Программирование Android
Есть приложение и его исходники. Какие есть способы посмотреть что принимает и отсылает приложение. Что дописать, может, чем сами...

Лог коммутатора как перевести лог - Сетевое оборудование
Добрый день! Помогите пожалуйста перевести лог. Oct 12 14:33:49.378 MSK: %SEC-6-IPACCESSLOGDP: list Access_From_Guest_VLAN denied...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
1
Chinaski_Henry
938 / 305 / 44
Регистрация: 25.02.2015
Сообщений: 981
30.05.2015, 20:56  [ТС] #2
Пример анализа лога Process Monitor
Программа Process Monitor является усовершенствованным инструментом отслеживания для Windows, который в режиме реального времени отображает активность файловой системы, реестра, а также процессов и потоков. В этой программе сочетаются возможности двух ранее выпущенных программ от Sysinternals: Filemon и Regmon, а также огромный ряд улучшений, включая расширенную и безвредную фильтрацию, всеобъемлющие свойства событий, такие как ID сессий и имена пользователей, достоверную информацию о процессах, полноценный стек потока со встроенной поддержкой всех операций, одновременную запись информации в файл и многие другие возможности. Эти уникальные возможности делают программу Process Monitor ключевым инструментом для устранения неполадок и избавления от вредоносных программ.
Выше приведена небольшая выдержка с сайта sysinternals описывающая назначение программы ProcMon, если же говорить более простым и надеюсь более понятным языком, то ProcMon позволяет «записывать» все происходящие события в системе разделяя их на 4 основные группы:

А) Файловая система
Б) Реестр
В) Сеть
Г) Процессы и потоки


Важной особенностью ProcMon является гибкая система фильтрации без который бы поиск причин сбоя усложнился бы в разы. Фильтр можно вызвать нажав ctrl+L.
Вывод захваченных событий происходит в таком виде (столбцы не вместившиеся на экран будут показаны ниже):
Как сделать лог Process Monitor
Time of Day – время когда началось событие
Process Name - Имя процесса вызвавшего событие
PID – идентификатор процесса
Operation – выполняемая операция
Path – путь к которому обращается процесс , будь то путь на диске или в реестре.
Как сделать лог Process Monitor
Result - результат выполнения события.
Detail – подробности выполненного события.

Рассмотрим примеры анализа ошибок выявленных с помощью ProcMon, «мучать» будет программу CDBurnerXP. Запустим Process Monitor и настроим фильтр отображающий только события вызываемые программой CDBurnerXP:
Укажем события вызываемые процессом, is cdbxpp.exe, параметр include указывает включать а не исключать отфильтрованные события, кнопкой add добавим настроенный фильтр в список фильтров и нажмем ok.
Как сделать лог Process Monitor
Мы видим, что процесс программы обращается к файлу cdbxpp.exe.config в котором хранятся некоторые настройки программы, в данном случае какие именно не важно.
Как сделать лог Process Monitor

В свойствах файла, на вкладке безопасность запретим всем пользователям чтение и запись файла:
Как сделать лог Process Monitor
Запрет установлен для всех пользователей. Теперь запустим приложение и посмотрим что получится:
Как сделать лог Process Monitor
К какому конкретно объекту нет доступа нам не сообщается, для анализа ситуации воспользуемся Process Monitor. Запустим приложение, потом вызовем CDBurnerXP, дождемся появления ошибки нажмем ok и откроем фильтр в Process Monitor нажав ctrl+L, добавим запись следующего вида:
Как сделать лог Process Monitor
Устанавливаем отбор по результату выполнения с типом Access Denied (в доступе отказано) нажмем Add и ok. В отборе увидим следующие записи:
Как сделать лог Process Monitor
Мы видим что программе не удалось получить доступ к конфигурационному файлу, хотя в данном случае обращение идет от процесса csrss.exe, таким образом без использования фильтров нам понадобилось бы очень много времени, что бы найти нужные события в таком большом списке.
Название: 13.png
Просмотров: 210

Размер: 2.0 Кб
Но события с результат выполнения Access Denied не единственные которые могут вызвать проблемы, рассмотрим другой пример. Из папки программы переместим файл CDBXP.dll, запустим CDBurnerXP посмотри какое сообщение нас ждет:
Как сделать лог Process Monitor
Здесь мы хотя и видим сообщение в котором указана причина по которой программа не запустилась, и даже какой файл отсутствует, но такое встречается далеко не всегда, куда чаще сообщения не содержит практически не какой полезной информации, посмотрим лог Process Monitor
Как сделать лог Process Monitor
Мы видим что CDBurnerXP Ищет файл CDBXP.dll в двух каталогах и не находит его. Так же в логе можно увидеть такие события:
Как сделать лог Process Monitor
Мы видим что системный процесс taskhost.exe обрабатывая исключение обращается к разделу реестра HKCU\AppEvents\Schemes\Apps\.Default\SystemHand\.Current\(Default) в котором считывает значение параметра реестра что определить путь до файла C:\Windows\media\Windows Critical Stop.wav который воспроизводится при критической ошибке, после чего можно обратиться к последним событиям программы и узнать что привело к исключению. Но в данном случае мы не увидим ничего полезного.

Я привел два примера на что можно обратить внимание, но случае проблем может быть бесчетное множество, при поиске которых важно обладать знаниями по системам Windows, немного смекалки ну и конечно умение отделить зерна от плевел так как в логе всегда много событий, например с результатом NAME NOT FOUND но не все из них играют важную роль при анализе.
Другие примеры анализа здесь: Марк Руссинович По-Русски
Рекомендуемая литература: Утилиты Sysinternals. Справочник администратора. Руссинович М., Маргозис А. 2012г.
8
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.