วิธีใช้การตรวจสอบกระบวนการเพื่อติดตามการเปลี่ยนแปลงของรีจิสทรีและระบบไฟล์

การตรวจสอบกระบวนการเป็นเครื่องมือแก้ไขปัญหาที่ยอดเยี่ยมจาก Windows Sysinternals ที่แสดงไฟล์และรีจิสตรีคีย์ที่แอพพลิเคชั่นเข้าถึงแบบเรียลไทม์ ผลลัพธ์สามารถบันทึกลงในไฟล์บันทึกซึ่งคุณสามารถส่งไปยังผู้เชี่ยวชาญเพื่อวิเคราะห์ปัญหาและแก้ไขปัญหา

นี่คือคำแนะนำเกี่ยวกับวิธีการบันทึกการเข้าถึงรีจิสตรีและระบบไฟล์โดยแอพพลิเคชั่นและสร้างล็อกไฟล์โดยใช้ Process Monitor เพื่อการวิเคราะห์เพิ่มเติม

ใช้การตรวจสอบกระบวนการเพื่อติดตามการเปลี่ยนแปลงของรีจิสทรีและระบบไฟล์

สถานการณ์สมมติ: สมมติว่าคุณไม่สามารถเขียนไฟล์ HOSTS ได้ สำเร็จใน Windows และต้องการทราบว่าเกิดอะไรขึ้นภายใต้ประทุน ทุกขั้นตอนในบทความต่อไปนี้หมุนรอบสถานการณ์ตัวอย่างนี้

ขั้นตอนที่ 1: เรียกใช้กระบวนการตรวจสอบและกำหนดค่าตัวกรอง

1. ดาวน์โหลด Process Monitor จากเว็บไซต์ Windows Sysinternals
2. แตกเนื้อหาไฟล์ zip ไปยังโฟลเดอร์ที่คุณเลือก
3. เรียกใช้แอปพลิเคชันตรวจสอบกระบวนการ
4. รวมถึงกระบวนการที่คุณต้องการติดตามกิจกรรม สำหรับตัวอย่างนี้คุณต้องการรวม Notepad.exe ในตัวกรอง (รวม)
   
5. คลิก เพิ่ม และคลิก ตกลง
   
   เคล็ดลับ: คุณสามารถเพิ่มหลายรายการได้เช่นกันในกรณีที่คุณต้องการติดตามกระบวนการเพิ่มเติมเล็กน้อยพร้อมกับ Notepad.exe เพื่อให้ตัวอย่างนี้ง่ายขึ้นให้ติดตาม Notepad.exe เท่านั้น

   (ตอนนี้คุณจะเห็นหน้าต่างหลักของการตรวจสอบกระบวนการติดตามรายการการเข้าถึงไฟล์และรีจิสตรีโดยกระบวนการแบบเรียลไทม์และจะเกิดขึ้นเมื่อไร)
   
   

6. จากเมนู ตัวเลือก คลิก เลือกคอลัมน์
7. ภายใต้“ รายละเอียดเหตุการณ์” ให้เปิดใช้งาน หมายเลขลำดับ และคลิก ตกลง
   

ขั้นตอนที่ 2: บันทึกเหตุการณ์

1. เปิด Notepad
2. สลับไปยังหน้าต่างการตรวจสอบกระบวนการ
3. เปิดใช้งานโหมด“ ถ่ายภาพ” (หากยังไม่ได้เปิด) คุณสามารถดูสถานะของโหมด“ ถ่ายภาพ” ผ่านแถบเครื่องมือการตรวจสอบกระบวนการ
   ปุ่มที่ไฮไลต์ด้านบนคือปุ่ม "ถ่ายภาพ" ซึ่งปิดใช้งานอยู่ในปัจจุบัน คุณต้องคลิกปุ่มนั้น (หรือใช้ลำดับคีย์ Ctrl + E) เพื่อเปิดใช้งานการจับภาพเหตุการณ์
4. ล้างรายการเหตุการณ์ที่มีอยู่โดยใช้ลำดับคีย์ Ctrl + X (สำคัญ) และเริ่มใหม่อีกครั้ง
5. ตอนนี้เปลี่ยนเป็น Notepad แล้วลอง สร้างปัญหาขึ้นมา ใหม่

   ในการทำให้เกิดปัญหาอีกครั้ง (สำหรับตัวอย่างนี้) ลองเขียนไปยังไฟล์ HOSTS ( C:\Windows\System32\Drivers\Etc\HOSTS ) และบันทึกไว้ Windows เสนอให้บันทึกไฟล์ (โดยแสดงไดอะล็อกบันทึกเป็น) ด้วยชื่ออื่นหรือในตำแหน่ง อื่น

   ดังนั้นจะเกิดอะไรขึ้นภายใต้ประทุนเมื่อคุณบันทึกลงในไฟล์ HOSTS การตรวจสอบกระบวนการแสดงให้เห็นว่า
   
   

6. สลับไปยังหน้าต่างการตรวจสอบกระบวนการและปิดการจับภาพ (Ctrl + E) ทันทีที่คุณสร้างปัญหาขึ้นมาใหม่ หมายเหตุสำคัญ: อย่าใช้เวลามากในการทำให้เกิดปัญหาอีกครั้งหลังจากเปิดใช้งานการจับภาพ ในทำนองเดียวกันปิดการจับภาพทันทีที่คุณเสร็จสิ้นการทำซ้ำปัญหา เพื่อป้องกันไม่ให้ Process Monitor บันทึกข้อมูลที่ไม่จำเป็นอื่น ๆ (ซึ่งทำให้การวิเคราะห์ยากขึ้น) คุณต้องทำทุกอย่างให้เร็วที่สุด

   การแก้ไข: ไฟล์บันทึกด้านบนบอกเราว่า Notepad พบ ACCESS DENIED ผิดพลาดการ ACCESS DENIED เมื่อเขียนไปยังไฟล์ HOSTS วิธีแก้ปัญหาคือการเรียกใช้แผ่นจดบันทึกระดับสูง (คลิกขวาแล้วเลือก“ เรียกใช้ในฐานะผู้ดูแลระบบ”) เพื่อให้สามารถเขียนไปยังไฟล์ HOSTS สำเร็จ

ขั้นตอนที่ 3: บันทึกผลลัพธ์

1. ในหน้าต่างการตรวจสอบกระบวนการเลือกเมนู ไฟล์ และคลิก บันทึก
2. เลือก รูปแบบการตรวจสอบกระบวนการพื้นเมือง (PML) พูดถึงชื่อไฟล์ที่ส่งออกและเส้นทางบันทึกไฟล์
   
3. คลิกขวาที่ไฟล์ Logfile.PML คลิกส่งไปยังแล้วเลือก Compressed (zipped) folder สิ่งนี้บีบอัดไฟล์โดย ~90% ดูกราฟิกด้านล่าง แน่นอนคุณต้องการ zip ไฟล์บันทึกก่อนส่งให้ใคร

หมายเหตุของบรรณาธิการ: ฉันมักจะแนะนำให้ลูกค้าของฉันบันทึกบันทึกด้วยตัวเลือก All events เพื่อให้ฉันสามารถรับตัวเลือกมากมายสำหรับการแก้ไขปัญหาเรื่องคอมพิวเตอร์ได้อย่างมีประสิทธิภาพ หากคุณกำลังจะส่งบันทึกการตรวจสอบกระบวนการให้แน่ใจว่าคุณเปิดใช้ งาน ตัวเลือก เหตุการณ์ทั้งหมด เมื่อบันทึกไฟล์บันทึก นอกจากนี้อย่าลืมการบีบอัด (.zip) ไฟล์บันทึกก่อนส่ง

แค่นั้นแหละผู้อ่าน เพื่อให้เอกสารง่ายขึ้นฉันได้ใช้ตัวอย่างที่ง่ายที่สุดเพื่อให้ผู้ใช้เข้าใจวิธีการติดตามรีจิสทรีและเหตุการณ์ของระบบไฟล์อย่างมีประสิทธิภาพโดยใช้การตรวจสอบกระบวนการและสร้างไฟล์บันทึก