So verwenden Sie Process Monitor zum Verfolgen von Registrierungs- und Dateisystemänderungen

Process Monitor ist ein hervorragendes Tool zur Fehlerbehebung von Windows Sysinternals, mit dem die Dateien und Registrierungsschlüssel, auf die Anwendungen zugreifen, in Echtzeit angezeigt werden. Die Ergebnisse können in einer Protokolldatei gespeichert werden, die Sie an einen Experten senden können, um ein Problem zu analysieren und Fehler zu beheben.

Hier finden Sie eine Anleitung zum Erfassen von Registrierungs- und Dateisystemzugriffen durch Anwendungen und zum Generieren einer Protokolldatei mit Process Monitor zur weiteren Analyse.

Verwenden Sie Process Monitor, um Änderungen an Registrierung und Dateisystem zu verfolgen

Szenario: Nehmen wir an, Sie können unter Windows nicht erfolgreich in die HOSTS- Datei schreiben und möchten wissen, was unter der Haube passiert. Jeder Schritt im folgenden Artikel dreht sich um dieses Beispielszenario.

Schritt 1: Ausführen von Process Monitor und Konfigurieren von Filtern

  1. Laden Sie Process Monitor von der Windows Sysinternals- Website herunter.
  2. Extrahieren Sie den Inhalt der Zip-Datei in einen Ordner Ihrer Wahl.
  3. Führen Sie die Process Monitor-Anwendung aus
  4. Schließen Sie die Prozesse ein, für die Sie die Aktivität verfolgen möchten. In diesem Beispiel möchten Sie Notepad.exe in die (Include-) Filter aufnehmen.

  5. Klicken Sie auf Hinzufügen und dann auf OK .

    Tipp: Sie können auch mehrere Einträge hinzufügen, falls Sie zusammen mit Notepad.exe einige weitere Prozesse verfolgen möchten. Um dieses Beispiel zu vereinfachen, verfolgen wir nur Notepad.exe .

    (Im Hauptfenster von Process Monitor wird nun die Liste der Registrierungs- und Dateizugriffe nach Prozessen in Echtzeit nachverfolgt, sobald und wie sie auftreten.)

  6. Klicken Sie im Menü Optionen auf Spalten auswählen .
  7. Aktivieren Sie unter "Ereignisdetails" die Sequenznummer und klicken Sie auf OK .

Schritt 2: Erfassen von Ereignissen

  1. Öffnen Sie den Editor.
  2. Wechseln Sie zum Fenster Prozessmonitor.
  3. Aktivieren Sie den Aufnahmemodus (falls er noch nicht eingeschaltet ist). Sie können den Status des Aufnahmemodus über die Prozessmonitor-Symbolleiste anzeigen.

    Die hervorgehobene Schaltfläche oben ist die Schaltfläche „Erfassen“, die derzeit deaktiviert ist. Sie müssen auf diese Schaltfläche klicken (oder die Tastenkombination Strg + E verwenden), um die Erfassung von Ereignissen zu aktivieren.

  4. Bereinigen Sie die vorhandene Ereignisliste mit Strg + X (Wichtig) und beginnen Sie erneut
  5. Wechseln Sie nun zu Notepad und versuchen Sie, das Problem zu reproduzieren .

    Um das Problem zu reproduzieren (in diesem Beispiel), schreiben Sie in die HOSTS-Datei ( C:\Windows\System32\Drivers\Etc\HOSTS ) und speichern Sie sie. Windows bietet an, die Datei (indem das Dialogfeld Speichern unter angezeigt wird) unter einem anderen Namen oder an einem anderen Speicherort zu speichern .

    Was passiert also unter der Haube, wenn Sie in einer HOSTS-Datei speichern? Process Monitor zeigt das genau.

  6. Wechseln Sie zum Fenster "Prozessmonitor" und deaktivieren Sie die Erfassung (Strg + E), sobald Sie das Problem reproduzieren. Wichtiger Hinweis: Nehmen Sie sich nach dem Aktivieren der Erfassung nicht viel Zeit, um das Problem zu reproduzieren. Deaktivieren Sie auf ähnliche Weise die Erfassung, sobald Sie das Problem reproduziert haben. Dies soll verhindern, dass Process Monitor andere nicht benötigte Daten aufzeichnet (was den Analyseteil schwieriger macht). Sie müssen das alles so schnell wie möglich erledigen.

    Lösung: Aus der obigen Protokolldatei geht hervor, dass Notepad beim Schreiben in die HOSTS Datei auf den Fehler ACCESS DENIED gestoßen ist. Die Lösung wäre, einfach Notepad mit erhöhten Rechten auszuführen (klicken Sie mit der rechten Maustaste und wählen Sie "Als Administrator ausführen"), um erfolgreich in die HOSTS Datei schreiben zu können.

Schritt 3: Speichern der Ausgabe

  1. Wählen Sie im Fenster Prozessmonitor das Menü Datei und klicken Sie auf Speichern
  2. Wählen Sie Native Process Monitor Format (PML), geben Sie den Namen der Ausgabedatei und den Pfad an und speichern Sie die Datei.

  3. Klicken Sie mit der Logfile.PML auf die Datei Logfile.PML, klicken Sie auf Senden an und wählen Sie den Compressed (zipped) folder . Dadurch wird die Datei um ~90% komprimiert. Schauen Sie sich die Grafik unten an. Sie möchten die Protokolldatei auf jeden Fall komprimieren, bevor Sie sie an jemanden senden.

Anmerkung des Herausgebers: Normalerweise empfehle ich meinen Kunden, das Protokoll mit der Option Alle Ereignisse zu speichern, damit ich umfassende Optionen zur effektiven Fehlerbehebung auf dem betreffenden Computer erhalten kann. Wenn Sie mir ein Prozessmonitorprotokoll senden möchten, stellen Sie sicher, dass Sie beim Speichern der Protokolldatei die Option Alle Ereignisse aktivieren. Vergessen Sie auch nicht, die Protokolldatei vor dem Senden zu komprimieren (.zip).

Das war's, Leser. Um die Dokumentation einfach zu halten, habe ich das einfachste Beispiel verwendet, damit ein Endbenutzer klar versteht, wie Registrierungs- und Dateisystemereignisse mithilfe von Process Monitor effizient verfolgt und die Protokolldatei generiert werden können.

Ähnlicher Artikel