Монитор процесса, как использовать

Обновлено: 21.11.2024

Если вы какое-то время пользовались Windows, вполне вероятно, что в тот или иной момент вам приходилось использовать встроенный диспетчер задач. Будь то уничтожение зависших процессов, отслеживание вредоносных программ или выяснение того, что съедает всю эту память, диспетчер задач является бесценным инструментом для любого пользователя среднего или продвинутого уровня. Но для энтузиастов, которым нужен дополнительный контроль, больше информации и множество дополнительных функций, есть более мощная альтернатива: бесплатный инструмент Microsoft Process Explorer.

Process Explorer – это не просто улучшенная версия диспетчера задач, которая дает больше информации и контроля над процессами вашей системы. Он также включает в себя возможность выявлять вирусы и определять, когда программы цепляются за программное обеспечение, которое вы хотите удалить.

Проводник Process Explorer, являющийся частью набора инструментов Windows от Sysinternals (ранее называвшегося «Winternals»), можно загрузить с веб-сайта TechNet по выбору или в составе всего пакета. Если вы планируете полностью заменить Диспетчер задач на Process Explorer — а в конечном итоге вы, вероятно, так и сделаете, — вы должны получить весь пакет. Подробнее об этом позже. Вот лишь некоторые из вещей, которые вы можете делать с помощью Process Explorer.

Основы

Когда вы впервые открываете Process Explorer, там содержится много информации, и она может показаться ошеломляющей. Не паникуйте! Вот что это такое.

Майк ВанХелдер

В верхней половине главного окна вы увидите список процессов. Это не должно быть совершенно незнакомым, если вы использовали вкладку «Сведения» в диспетчере задач (она же вкладка «Процессы» в Windows XP и более ранних версиях). В нем указано имя процесса, описание процесса, использование ЦП и памяти, а также название компании создателя программного обеспечения — то, что очень полезно при поиске вредоносных программ. (Совет для профессионалов: Microsoft не является законным производителем программного обеспечения.) Вы можете настроить свои столбцы, чтобы включить больше или меньше информации, щелкнув правой кнопкой мыши заголовок столбца, как и в любой другой программе с сортируемыми столбцами.

Процессы представлены иерархически, что означает, что если процесс порождает другой процесс, дочерний процесс будет указан ниже родительского. Если вы предпочитаете алфавитный список, просто щелкните заголовок столбца «имя процесса». Этот список постоянно обновляется, но если вы хотите заморозить его во времени — скажем, чтобы изучить процесс, который появляется и исчезает быстрее, чем вы успеваете щелкнуть по нему, — вы можете нажать пробел, чтобы приостановить обновления.

Здесь гораздо больше информации — линейные диаграммы с прокруткой в ​​верхней части окна, цветовые коды, нижняя панель, показывающая библиотеки DLL и дескрипторы, — но пока давайте сосредоточимся на списке процессов.

Уничтожение дерева процессов

Многие люди в тот или иной момент использовали Диспетчер задач, чтобы завершить некорректно работающий процесс. Эта функция также существует в Process Explorer, где она называется Убить процесс, когда вы щелкаете процесс правой кнопкой мыши. Process Explorer делает это лучше, чем стандартный диспетчер задач Windows, предоставляя вам возможность убить все дерево процессов. Щелкните процесс правой кнопкой мыши, затем выберите Удалить дерево процессов или выберите Процесс > Удалить дерево процессов или просто выделите процесс и нажмите Shift-Del. >.

Зачем убивать все дерево процессов? Иногда, когда процесс останавливается, это не настоящий виновник. Вместо этого один из порожденных им дочерних процессов является настоящим плохим начальным значением (мы смотрим на вас, Chrome). Даже если первоначальный процесс является истинным злодеем истории, его уничтожение иногда может оставить бесхозные процессы, которые ничего не могут сделать без своего родителя, но все равно поглощают ресурсы. Уничтожение дерева процессов решает сразу обе проблемы.

Выяснение того, какой процесс заблокировал файл

Одна из самых неприятных вещей, с которой регулярно сталкиваются пользователи Windows, — это попытка отредактировать или удалить файл только для того, чтобы получить какой-то вариант старого «Этот файл открыт в другой программе» или «Этот файл заблокирован для сообщение «редактирование». Если вы многозадачный человек и у вас открыто дюжина окон, выяснение того, какое из них блокирует вашу цель, может быть упражнением в трате времени. Process Explorer предлагает решение.

Майк ВанХелдер

Откройте Process Explorer, выберите процесс и нажмите Ctrl+H. Это изменит нижнюю панель на «Обработка вида». Это покажет вам каждый файл, папку, подпроцесс и поток, открытый процессом. Если вы подозреваете, что знаете, какой процесс блокирует ваш файл, и хотите подтвердить это, сделайте это здесь.

Но что, если вы не знаете, какой процесс удерживает ваш файл в заложниках? Вы должны пройти через каждый процесс в списке поиска вашего файла? Можно, но есть гораздо более простой способ: нажмите Найти > Найти дескриптор или DLL или используйте сочетание клавиш Ctrl+F. Просто введите имя файла, и программа подскажет, какой процесс блокирует этот файл.

Это вирус?

Process Explorer особенно полезен при поиске вредоносных программ. Для некоторых действительно подробных примеров вы всегда можете проверить серию сообщений и видео в блогах Марка Руссиновича мирового уровня «The Case Of…». Но вам не нужно быть профессионалом в борьбе с вредоносным ПО, как Руссинович, чтобы выяснить, является ли подозрительный процесс вирусом. Process Explorer использует VirusTotal, проект Google, который проверяет сомнительные процессы по базам данных всех основных антивирусных компаний.

Майк ВанХелдер

В этом столбце показано количество антивирусных служб, пометивших данный процесс как потенциальный вирус. Например, «7/59» означает, что 7 из 59 антивирусных поставщиков считают процесс потенциально опасным. Чем выше число, тем больше вероятность того, что процесс на самом деле является вредоносным ПО. Для получения дополнительной информации просто нажмите на цифры, чтобы открыть веб-сайт VirusTotal, где вы можете узнать больше.

Очевидно, что, как и любая другая антивирусная мера, это не является надежным, и вы можете получить ложные срабатывания. Например, сам Process Explorer иногда помечается как опасный. Кроме того, вирусы могут быть слишком новыми, чтобы их можно было широко помечать, или они могут использовать любое количество методов защиты от вредоносных программ. Тем не менее, интеграция VirusTotal в Process Explorer — очень хорошее начало.

Полная замена диспетчера задач

После того, как вы освоитесь с ним, вы обнаружите, что Process Explorer лучше управляет задачами, чем диспетчер задач, почти во всех отношениях, и вам больше никогда не захочется открывать диспетчер задач. Process Explorer может помочь вам в этом.

В меню «Параметры» вы увидите пункт с надписью Заменить диспетчер задач. Выберите это, и каждое действие, которое обычно запускает диспетчер задач, независимо от того, вызываете ли вы его из командной строки или выбираете из меню Ctrl+Alt+Delete, вместо этого запускает Process Explorer. В Windows XP и более ранних версиях это все, что вам нужно сделать, но в Windows 8 и 10 есть одна особенность.

Версии диспетчера задач для Windows 8 и 10 не просто управляют процессами. Теперь они также обрабатывают элементы автозагрузки и управление службами, которые находились в MSConfig в более ранних версиях Windows. Если вы замените эту версию диспетчера задач на Process Explorer, вы потеряете функциональность? Что касается услуг, то нет. Приложение "Службы" по умолчанию, встроенное в Windows (просто введите "Службы" в меню "Пуск", и вы найдете его), прекрасно справляется с управлением вашими службами.

Майк ВанХелдер

Полный пакет Sysinternals.

Но когда дело доходит до элементов автозагрузки, да, вы потеряете функциональность. Process Explorer вообще их не обрабатывает, поэтому для этого вам понадобится другой инструмент.

Вот почему мы рекомендуем загрузить весь пакет Sysinternals, если вы хотите полностью заменить диспетчер задач. Там есть утилита под названием Autoruns, которая полностью уничтожает функциональность элементов запуска диспетчера задач. Как использовать Autoruns — это тема для другой статьи, но вы можете извлечь ее и сохранить где-нибудь под рукой, когда захотите настроить свой стартап.

Большинство людей будут использовать Process Explorer для функций, которые мы описали здесь, но копнув глубже, вы найдете еще больше инструментов для опытных пользователей в его укромных уголках и закоулках. Если вы действительно хотите разобраться в мельчайших деталях, вы можете найти более подробную информацию в удивительно подробных файлах справки Process Explorer.

Лоуэлл Хеддингс

Лоуэлл Хеддингс
Основатель и генеральный директор

Лоуэлл — основатель и генеральный директор How-To Geek. Он руководит шоу с момента создания сайта в 2006 году. За последнее десятилетие Лоуэлл лично написал более 1000 статей, которые просмотрели более 250 миллионов человек.До создания How-To Geek Лоуэлл 15 лет проработал в сфере ИТ, занимаясь консалтингом, кибербезопасностью, управлением базами данных и программированием. Подробнее.

В сегодняшнем выпуске Geek School мы научим вас, как использовать Process Monitor для устранения неполадок и выявления взломов реестра, о которых вы иначе не узнали бы.

Монитор процессов – один из самых впечатляющих инструментов, которые вы можете иметь в своем наборе инструментов, поскольку почти нет другого способа увидеть, что на самом деле делает приложение под капотом. Это единственный способ узнать, какие файлы каким процессом записываются, где в реестре хранятся данные и какие файлы к ним обращаются.

Сегодняшний урок мы начнем с рассмотрения того, как найти ключи реестра с помощью диалоговых окон параметров Windows и монитора процессов, а затем рассмотрим реальный сценарий устранения неполадок, с которым мы столкнулись на одном из наших компьютеров в лаборатории. и легко решается с помощью Process Monitor.

Использование Process Explorer для поиска ключей реестра для общих настроек

Все когда-нибудь устанавливали флажок или изменяли значение раскрывающегося списка, но задумывались ли вы когда-нибудь, где на самом деле хранятся эти значения? Многие приложения и практически все в Windows хранятся в реестре… где-то.

В сегодняшнем примере мы будем использовать первый параметр на первой панели панели задач и свойств навигации, который представляет собой диалоговое окно, которое должно существовать во всех версиях Windows. Итак, теперь наша миссия — выяснить, где этот параметр на самом деле хранится в реестре. Вы можете следовать этому конкретному параметру или попробовать один из других параметров в том же диалоговом окне или в любом другом месте, для которого вы хотите найти скрытое местоположение параметра.

Первое, что вам нужно сделать при попытке собрать набор данных, — это запустить Process Monitor, а затем изменить настройку. В этот момент вы можете запретить Process Monitor продолжать захват событий, чтобы список не вышел из-под контроля. (Подсказка: в меню «Файл» есть опция или это третий значок слева).

Теперь, когда у нас есть тонна данных в списке, пришло время отфильтровать список, чтобы уменьшить количество строк, которые нам придется просматривать. Поскольку мы смотрим на значение реестра, которое изменяется, нам нужно будет отфильтровать по «RegSetValue», что Windows использует для фактической установки ключа реестра в новое значение. Используйте параметр «Включить», чтобы показать только эти события.

Теперь ваш список должен быть ограничен только измененными разделами реестра, поэтому пришло время взглянуть на события и попытаться выяснить, какой это может быть раздел реестра. Поскольку мы проверяем параметр «Блокировать панель задач», а один из устанавливаемых разделов реестра включает в себя слово «Панель задач» в названии, это хорошее место для начала. Щелкните правой кнопкой мыши путь и выберите «Перейти к месту».

Process Monitor откроет редактор реестра и выделит ключ в списке. Теперь нам нужно убедиться, что это действительно правильный ключ, в чем довольно легко разобраться. Взгляните на настройку, а затем взгляните на ключ. Сейчас настройка включена, а ключ установлен на 0.

Поэтому измените настройку, нажмите «Применить» в диалоговом окне, а затем используйте клавишу F5, чтобы обновить окно редактора реестра. В нашем случае мы определенно выбрали правильный параметр, так что теперь вы можете видеть, что значение TaskbarSizeMove равно 1.

Если вы выбрали неправильное значение, вы не увидите изменений при повторном тестировании настроек. Так что идите и найдите следующий логический вариант и начните сначала.

Устранение неполадок с Process Monitor

На самом деле невозможно проиллюстрировать в одной статье, как устранить любую проблему с помощью Process Monitor или любого другого инструмента в этом отношении. Слишком много комбинаций проблем, которые могут пойти не так.

Однако мы можем показать, как мы на самом деле использовали Process Monitor для устранения реальной проблемы, которая действительно возникла на одном из наших тестовых компьютеров. Мы устанавливали какое-то дерьмовое ПО, а потом решили попробовать почистить компьютер. Проблема заключалась в записи на панели «Удаление программ», которая просто не исчезала.

Каждый раз, когда вы нажимали «Изменить», чтобы удалить его, вы получали сообщение об ошибке «Произошла ошибка при попытке удалить AwfulApp. Возможно, он уже был удален. Вы хотите удалить AwfulApp из списка программ и компонентов?».

Это было бы здорово, если бы мы не получили сообщение об ошибке «У вас недостаточно прав для удаления OutfoxTV из списка программ и компонентов. Обратитесь к системному администратору».

Первое, что нужно было сделать, это повторить процесс удаления с запущенным Process Monitor, который зафиксировал огромное количество данных. На этот раз мы решили использовать функцию «Найти» (CTRL+F), чтобы быстро найти то, что искали в списке. Вы также можете использовать фильтр, если хотите, но это казалось простым, и, к счастью, это сработало с первого раза.

Посмотрев на первый элемент в списке, мы заметили ошибку: Windows пыталась получить доступ к разделам реестра, связанным с деинсталлятором, но на самом деле их не было в реестре в первом месте, которое искала Windows. . Если вы посмотрите на пару ключей вниз, вы увидите событие RegOpenKey с результатом SUCCESS для чего-то в HKLM\Software\Wow6432Node.

Выполнение поиска по этому разделу реестра очень быстро привело нас к источнику проблемы: сообщение ACCESS DENIED, когда Windows пыталась выполнить очистку списка с помощью операции RegDeleteKey. Интересно!

Первое, что нужно было сделать, это использовать функцию "Перейти к", чтобы найти ключ в реестре и посмотреть.

Конечно, посмотрите на все эти разделы реестра! Неудивительно, что он до сих пор появляется в списке.

Чтобы быть уверенным, мы открыли каталог C:\Program Files\, чтобы проверить, не остались ли еще какие-либо файлы, но очевидно, что приложение уже было стерто с ПК.

Решение было очень простым: мы просто вручную удалили раздел реестра, с удалением которого у Windows возникли проблемы. Если бы мы получили сообщение об отказе в доступе, мы могли бы использовать настройку разрешений, чтобы убедиться, что у нас есть доступ, и повторить попытку.

К счастью, удаление сработало сразу, и наш список программ для удаления теперь был чист.

Это лишь некоторые из многих способов использования Process Monitor. Это чрезвычайно важная и полезная утилита, для освоения которой потребуется некоторое время, но как только вы это сделаете, она действительно может помочь вам решить многие проблемы.< /p>

Следующий урок

Начиная с понедельника, на следующем уроке мы рассмотрим многие другие утилиты из SysInternals Toolkit, в том числе некоторые из мощных инструментов командной строки.

  • ›5 шрифтов, которые следует прекратить использовать (и лучшие альтернативы)
  • › Как установить Google Play Маркет в Windows 11
  • › Что означает XD и как вы его используете?
  • › Как восстановить метки панели задач в Windows 11
  • › Почему прозрачные чехлы для телефонов желтеют?
  • › Худшее, что есть в телефонах Samsung, — это программное обеспечение Samsung.

Часто ли вы используете Диспетчер задач на ПК с Windows 10 для отслеживания различных процессов в вашей системе и того, сколько процессорного времени или памяти они используют? Если это так, вы можете обнаружить, что предпочитаете два альтернативных варианта: Process Monitor или Process Explorer.

Оба являются бесплатными инструментами, которые вы можете установить на ПК с Windows 10. Они содержат ту же информацию, что и в диспетчере задач Windows, и многое другое.

Что такое монитор процессов?

Process Monitor — это бесплатное расширенное средство мониторинга, входящее в набор утилит Windows Sysinternals для Windows. Он позволяет просматривать подробную информацию обо всех процессах, запущенных в вашей системе.

В частности, это сведения о событиях, вызванных определенными процессами.

Следующие поля информации о процессе выбираются по умолчанию при первом запуске приложения.

  • Имя процесса
  • Путь
  • Подробнее
  • Результат
  • Операция
  • Время суток
  • Идентификатор процесса (PID)

Есть 20 дополнительных полей, которые вы можете выбрать, чтобы увидеть еще больше информации о каждом процессе.

С помощью этого инструмента вы не ограничены только просмотром информации о процессе. Вы также можете установить фильтры для любого поля, чтобы ограничить отображаемые данные, записывать события процесса для устранения неполадок и дерево процессов, которое позволяет увидеть взаимосвязь между родительскими и дочерними процессами.

Что такое обозреватель процессов?

Process Explorer — лучший инструмент для понимания того, как различные приложения работают в вашей системе. Благодаря инновационной древовидной структуре он покажет вам, какие файлы, каталоги и другие процессы контролируются каждым родительским процессом.

Вы можете использовать Process Explorer в «режиме дескриптора», который помогает вам увидеть, какие окна обрабатываются каждым открытым процессом, или в «режиме DLL», который показывает вам библиотеки DLL и файлы с отображением памяти, открытые каждым процессом.

Это делает Process Explorer чрезвычайно полезным при устранении неполадок или отладке приложений, работающих на вашем компьютере.

Теперь, когда вы знаете, для чего используется каждая из этих бесплатных утилит SysInternals, давайте подробнее рассмотрим, как вы можете использовать каждую из них на своем ПК с Windows 10.

Как использовать монитор процессов

После извлечения файлов Process Monitor вы увидите разные файлы для запуска утилиты. Если вы используете 64-разрядную систему Windows, выберите файл с именем Procmon64.exe. Если нет, выберите файл Procmon.exe.

Из главного окна Process Monitor можно запустить представление, аналогичное приложению Process Explorer. Это представление дерева процессов. Чтобы просмотреть это, просто выберите небольшой значок документа с изображением древовидной схемы на нем.

Некоторая информация, которую вы видите в этом представлении, включает родительский процесс и все запущенные им процессы. Вы можете увидеть его команду запуска, разработчика приложения (если есть), как долго оно работает и дату запуска.

Он не такой информативный, как Process Explorer, но позволяет быстро просмотреть большую часть той же информации.

Создать фильтр монитора процесса

Вернувшись на главный экран (окно событий процесса), щелкните правой кнопкой мыши любой из процессов и выберите «Редактировать фильтр», чтобы обновить фильтр процессов.

В этом окне показано, как работает фильтрация в Process Monitor. Первый раскрывающийся список позволяет выбрать объект для вашего фильтра. В данном случае это имя процесса. Следующее раскрывающееся меню — это оператор типа «есть», «нет», «меньше» и т. д. В этом поле вы можете ввести или выбрать свой фильтр, а также указать, хотите ли вы включить или исключить эти записи.

Когда вы выберете "Добавить", он добавит этот новый фильтр в ваш список и соответствующим образом изменит общее представление процессов.

Чтобы создать новый фильтр, откройте меню "Фильтр" и выберите "Фильтр".

Откроется то же окно, но с пустым фильтром. Просто выберите каждый раскрывающийся список, введите элемент фильтра, который вы хотите исключить или включить, и добавьте его в список фильтров.

После того как вы нажмете "ОК", ваш основной вид обновится, чтобы включить новый фильтр.

Самая полезная функция Process Monitor — регистрация системных событий во время выполнения некоторых действий. Вы можете регистрировать системные события следующим образом:

  1. Нажмите значок "Захват" в виде увеличительного стекла, чтобы остановить запись.
  2. Выберите ластик на значке очистки бумаги, чтобы очистить журнал.
  3. Нажмите значок "Захват" еще раз, чтобы начать запись.
  4. Выберите «Фильтровать» и «Включить расширенный вывод».
  5. Создайте проблему заново.
  6. Чтобы остановить регистрацию, еще раз нажмите значок "Захват".
  7. Нажмите значок сохранения на диске, чтобы сохранить журнал на свой компьютер.

Вы можете просмотреть журнал, чтобы увидеть все события процесса, которые произошли, когда вы воссоздали проблему или ошибку, которую вы пытаетесь устранить.

Углубленное изучение событий

Выбирая определенные события в Process Monitor, вы можете просмотреть дополнительные сведения в меню "Событие".

Выберите событие, которое хотите изучить. Затем откройте меню «Событие» и выберите «Свойства».

Показывает все свойства события. На вкладке «Событие» в основном отображается то, что было в главном окне «Монитор процессов». На вкладке «Процесс» показаны такие вещи, как путь к приложению и командная строка запуска, а также модули, используемые процессом. На вкладке Stack представлены модули, хранящиеся в памяти процессом, и их сведения.

Вы можете получить доступ только к вкладке "Стек", выбрав "Стек" в меню "События".

Если вы хотите внимательно следить за каким-либо отдельным событием, выберите его, а затем выберите меню «Событие» и выберите «Переключить закладку».

Событие будет выделено, чтобы его было легче отслеживать.

Вы также можете просмотреть записи реестра для любого процесса, выбрав меню "Событие" и выбрав "Перейти к".

Это быстрый способ просмотреть все записи реестра, которые вы, возможно, захотите переключить для настройки этого приложения.

Справа от панели инструментов вы увидите пять значков, которые можно использовать для точной настройки фильтров по умолчанию.

Вы можете использовать их для включения или выключения каждого из следующих фильтров:

  • Действия в реестре
  • Активность файловой системы
  • Сетевая активность
  • Активность процессов и потоков
  • Профилирование событий

Как использовать Process Explorer

Используйте тот же подход для 32-разрядной или 64-разрядной версии при запуске Process Explorer.

В меню "Вид" можно настроить, какая информация о процессе будет отображаться на каждой панели.

Используйте представление нижней панели, чтобы изменить отображаемые там данные с дескрипторов на библиотеки DLL.

Самое важное меню здесь — «Процесс». Ниже показано, что каждый пункт меню покажет вам и позволит вам управлять.

Set Affinity показывает, на каких процессорах может выполняться выбранный процесс. Вы можете включить или отключить любой из процессоров, если хотите.

Настройка приоритета позволяет увеличить или уменьшить приоритет, который ЦП присваивает этому процессу. Это хороший способ устранить неполадки с зависающими или медленно работающими приложениями, чтобы увидеть, не связана ли проблема со слишком большим количеством других запущенных процессов.

Следующие четыре параметра позволяют управлять каждым процессом.

  • Убить процесс: принудительно остановить отдельный процесс
  • Убить дерево процессов: принудительно остановить процесс и все дочерние процессы.
  • Перезапустить: остановить и запустить выбранный процесс.
  • Приостановить: подозревать выбранный процесс

Вы можете создать файлы дампа или минидампа, связанные с выбранным процессом, выбрав меню «Процесс» и выбрав «Создать дамп». Затем выберите, хотите ли вы мини-дамп или полный дамп.

Наконец, если вы выберете «Свойства» в меню «Процесс», вы сможете просмотреть множество свойств выбранного процесса.

Это включает информацию о производительности, использовании графического процессора, общем количестве потоков, сетевой активности и многом другом.

Что лучше использовать: Process Monitor или Process Explorer?

Несмотря на то, что эти две утилиты похожи, они не одинаковы. Process Monitor лучше использовать, если вам нужно отслеживать, как ваши процессы взаимодействуют с вашей системой. Он позволяет отслеживать и регистрировать события, запускаемые каждым процессом.

Это может помочь вам увидеть, вызывает ли взаимодействие между вашими процессами и вашей системой ошибки или ненормальное поведение.

Process Explorer, с другой стороны, в значительной степени сосредоточен на процессах. Это помогает вам увидеть отношения между родительскими процессами и его дочерними процессами. Кроме того, она позволяет гораздо глубже изучить параметры и свойства каждого процесса, чем любая другая доступная утилита Windows.

Выберите нужную утилиту в зависимости от того, что именно вы устраняете.

Райан пишет инструкции и другие статьи о технологиях в Интернете с 2007 года. Он имеет степень бакалавра в области электротехники, 13 лет работал в области автоматизации, 5 лет — в ИТ, а сейчас работает инженером по приложениям. Прочитать полную биографию Райана

Понравился ли вам этот совет? Если это так, загляните на наш канал YouTube на нашем родственном сайте Online Tech Tips. Мы охватываем Windows, Mac, программное обеспечение и приложения, а также предлагаем множество советов по устранению неполадок и обучающих видеороликов. Нажмите кнопку ниже, чтобы подписаться!

Монитор процессов (ProcMon) — это инструмент для мониторинга активности системы в режиме реального времени на уровне файловой системы, реестра и сетевых операций. В этом блоге описывается, как использовать ProcMon для сбора этих системных действий и сохранения их в локальном файле. Данные, собранные этим инструментом, могут быть очень полезны для устранения неполадок. Поэтому это особенно полезно для поддержки SAP.

Во-первых, вы должны загрузить последнюю версию ProcMon и извлечь файл ProcessMonitor.zip в каталог вашей локальной системы, например C:\Tools.

Затем вам нужно распаковать архивный файл и запустить ProcMon, запустив Procmon64.exe. После того, как вы подтвердите диалоговое окно лицензии при первом запуске, вы увидите главное окно ProcMon и диалоговое окно со списком определенных фильтров Process Monitor. Просто подтвердите это диалоговое окно Process Monitor Filter кнопкой Ok.

Запустите ProcMon и подтвердите диалоговое окно фильтра

Предупреждение: если ваш список фильтров содержит фильтр «Включить», ProcMon будет отображать/отслеживать только те данные, которые соответствуют этому правилу! Все остальные данные будут удалены. В приведенном ниже примере ProcMon будет отображать данные только для процессов, которые содержат netsh в имени процесса!

Список фильтров с фильтром Include-Filter

Необязательно: если вы хотите убедиться, что в списке фильтров нет неправильной конфигурации, вы можете безопасно удалить все предварительно настроенные фильтры. При этом ProcMon соберет все данные, которые сможет получить.

Очистить список фильтров, чтобы получить ВСЕ события

Захват событий с помощью ProcMon может потребовать очень больших ресурсов. по этой причине мы рекомендуем отключать захват, нажав кнопку лупы на панели инструментов вверху, или использовать сочетание клавиш Ctrl + E. Захват отключен, если там символ лупы показывает красный крестик:

Кроме того, вы также можете очистить список собранных данных, нажав Ctrl + X или выбрав действие Правка — Очистить отображение в главном меню.

Теперь вы можете подготовить сценарий, который хотите отслеживать с помощью ProcMon. В этом примере мы будем отслеживать Notepad.exe, но вы также можете попробовать отслеживать SWPM или другие приложения Windows.

После того, как вы настроили нужный сценарий, переключитесь обратно и включите захват с помощью ProcMon, нажав кнопку лупы на панели инструментов или используя сочетание клавиш Ctrl + E. Красный крестик на кнопке лупы исчезнет.

Не закрывайте окно ProcMon!

Теперь вы можете запустить сценарий, который хотите отслеживать. Как только вы закончите сценарий, например, из-за того, что возникла проблема, которую вы хотите отслеживать, вернитесь в окно ProcMon и остановите захват.Вы увидите очень-очень длинный список событий:

Список собранных данных

Собранные данные затем можно сохранить в локальном файле. Для этого нажмите кнопку Сохранить на панели инструментов (сочетание клавиш Ctrl+S). Мы рекомендуем использовать следующие параметры в диалоговом окне «Сохранить в»:

  • События для сохранения: все события
  • Формат: собственный формат монитора процессов (PML)

Параметры сохранения в диалоговом окне

Если вы хотите отправить собранные данные по электронной почте или загрузить файл на веб-страницу, мы рекомендуем сжать файл PML, например, используя ZIP или аналогичный формат файла архива.

В этом сообщении блога описывается, как использовать инструмент ProcMon от Microsoft для сбора информации о системных действиях в реальном времени и сохранения их в файле PML. Затем этот файл можно прикрепить к инциденту с клиентом в качестве дополнительных данных для службы поддержки SAP.

Читайте также: