Come utilizzare Process Monitor per tenere traccia delle modifiche al registro e al file system

Process Monitor è un eccellente strumento di risoluzione dei problemi di Windows Sysinternals che visualizza i file e le chiavi di registro a cui le applicazioni accedono in tempo reale. I risultati possono essere salvati in un file di registro, che è possibile inviarlo a un esperto per analizzare un problema e risolverlo.

Ecco una guida su come acquisire gli accessi al registro e al file system da parte delle applicazioni e generare un file di registro utilizzando Process Monitor per ulteriori analisi.

Utilizzare Process Monitor per tenere traccia delle modifiche al registro e al file system

Scenario: supponiamo che non sia possibile scrivere correttamente sul file HOSTS in Windows e che si desideri sapere cosa sta succedendo. Ogni passaggio nel seguente articolo ruota attorno a questo scenario di esempio.

Passaggio 1: esecuzione di Process Monitor e configurazione dei filtri

  1. Scarica Process Monitor dal sito Windows Sysinternals .
  2. Estrai il contenuto del file zip in una cartella a tua scelta.
  3. Esegui l'applicazione Process Monitor
  4. Includere i processi su cui si desidera tenere traccia dell'attività. Per questo esempio, si desidera includere Notepad.exe nei filtri (Includi).

    $config[ads_text6] not found

  5. Fare clic su Aggiungi e fare clic su OK .

    Suggerimento: è possibile aggiungere anche più voci, nel caso in cui si desideri tenere traccia di alcuni altri processi insieme a Notepad.exe . Per semplificare questo esempio, Notepad.exe solo Notepad.exe .

    (Ora vedrai la finestra principale di Process Monitor tracciare l'elenco degli accessi al registro e ai file in base ai processi in tempo reale, come e siero si verificano.)

  6. Dal menu Opzioni, fai clic su Seleziona colonne .
  7. In "Dettagli evento", abilitare il numero di sequenza e fare clic su OK .

Passaggio 2: acquisizione di eventi

  1. Apri Blocco note.
  2. Passa alla finestra Process Monitor.
  3. Abilita la modalità "Cattura" (se non è già attiva). È possibile visualizzare lo stato della modalità "Capture" tramite la barra degli strumenti di Process Monitor.

    Il pulsante evidenziato sopra è il pulsante "Cattura", che è attualmente disabilitato. È necessario fare clic sul pulsante (o utilizzare la sequenza di tasti Ctrl + E) per abilitare l'acquisizione di eventi.

  4. Pulisci l'elenco degli eventi esistenti usando la sequenza di tasti Ctrl + X (Importante) e ricomincia
  5. Ora passa a Blocco note e prova a riprodurre il problema .

    Per riprodurre il problema (per questo esempio), prova a scrivere nel file HOSTS ( C:\Windows\System32\Drivers\Etc\HOSTS ) e salvarlo. Windows offre di salvare il file (mostrando la finestra di dialogo Salva con nome) con un nome diverso o in una posizione diversa .

    Quindi, cosa succede sotto il cofano quando si salva nel file HOSTS? Process Monitor lo dimostra esattamente.

  6. Passare alla finestra Process Monitor e disattivare Cattura (Ctrl + E) non appena si riproduce il problema. Nota importante: non impiegare molto tempo a riprodurre il problema dopo aver abilitato l'acquisizione. Allo stesso modo, disattivare l'acquisizione non appena si finisce di riprodurre il problema. Questo per impedire a Process Monitor di registrare altri dati non necessari (il che rende più difficile la parte di analisi). Devi fare tutto questo il più rapidamente possibile.

    Soluzione: il file di registro sopra ci dice che Notepad ha riscontrato un errore ACCESS DENIED durante la scrittura nel file HOSTS . La soluzione sarebbe semplicemente eseguire Notepad elevato (fare clic con il tasto destro e scegliere "Esegui come amministratore") per poter scrivere correttamente sul file HOSTS .

Passaggio 3: salvataggio dell'output

  1. Nella finestra Process Monitor, selezionare il menu File e fare clic su Salva
  2. Selezionare Native Process Monitor Format (PML), menzionare il nome del file di output e il percorso, salvare il file.

  3. Fare clic con il pulsante destro del mouse sul file Logfile.PML, fare clic su Invia a e selezionare la Compressed (zipped) folder . Questo comprime il file del ~90% . Guarda il grafico qui sotto. Sicuramente vuoi comprimere il file di registro prima di inviarlo a qualcuno.

Nota del redattore: di solito suggerisco ai miei clienti di salvare il registro con l'opzione Tutti gli eventi in modo da poter ottenere ampie opzioni per la risoluzione efficace del computer in questione. Se hai intenzione di inviarmi un registro di Process Monitor, assicurati di abilitare l'opzione Tutti gli eventi quando salvi il file di registro. Inoltre, non dimenticare di comprimere (.zip) il file di registro prima di inviarlo.

Tutto qui, lettori. Per semplificare la documentazione, ho usato l'esempio più semplice in modo che un utente finale comprenda chiaramente come monitorare in modo efficiente gli eventi del registro e del file system utilizzando Process Monitor e generare il file di registro.

Articoli Correlati