Использование Process Monitor

Автор: | 15.05.2021

Process Monitor от Sysinternals – отличный диагностический инструмент, когда вы хотите выяснить, что происходит с процессом и/или файлами. Я представил этот инструмент в подсказке под названием Understanding Process Monitor . В этом совете я покажу вам, как на самом деле использовать некоторые из его функций для диагностики.

В этом первом сценарии представьте, что у вас есть процесс, но он, похоже, не работает. что-нибудь. Вы хотели бы знать, завис ли он или действительно делает что-то, что вы просто не можете обнаружить в данный момент. Как и при любой диагностике, вы можете использовать несколько подходов, но, поскольку этот совет касается Process Monitor, мы воспользуемся его возможностями, чтобы увидеть, что происходит.

Запустите Process Monitor и посмотрите, если вы можете наблюдать за прокруткой процесса в столбце «Имя процесса». Если вы его не видите, попробуйте найти его, щелкнув значок бинокля («Найти») и набрав имя процесса (включая его расширение, например, введите «MyProgram.exe»). Если он найден, Process Monitor прекращает прокрутку и выделяет строку, в которой впервые находит имя процесса. Если вы не уверены в имени .exe, вы можете использовать значок «Включить процесс из окна» (восьмой слева). Вы используете это, щелкая и перетаскивая значок в окно, в котором выполняется ваш процесс. После того, как вы перетащили значок в окно, отпустите кнопку мыши, и Process Monitor перейдет к строке, где находится процесс этого окна. На этом этапе вы можете отфильтровать все, что связано с этим конкретным процессом, чтобы вы могли наблюдать за ним на предмет активности, не отвлекаясь на все остальное.

Фильтрация – это мощная, но простая концепция в Process Monitor. Можно настроить фильтр для включения или исключения записей. Важно понимать, что если включен фильтр «включить», то будут отображаться только те записи, которые соответствуют фильтру. С другой стороны, если у вас включены фильтры «исключить», то будет отображаться все, кроме того, что находится в фильтре. Фильтры «Включить» всегда имеют приоритет над фильтрами «Исключить».

Щелкните значок «Фильтр» (перевернутая пирамида). Обратите внимание, что Process Monitor автоматически уже создал фильтр «включить» для найденного процесса, поэтому вам действительно не нужно ничего делать, кроме как нажать Отмена в окне фильтра и следить за активностью вашего процесс на главном экране. (См. Рис. 1.)

Рис. 1. Окно фильтра монитора процессов.

Во втором сценарии предположим, что на вашем жестком диске есть файл, который периодически демонстрирует странное поведение. Например, его Дата изменения иногда меняется или иногда происходит сбой из-за ошибки «файл заблокирован другим пользователем». Вы можете использовать Process Monitor, чтобы наблюдать за файлом и видеть, какие процессы обращаются к нему..

Запустить монитор процессов. Поскольку вы устанавливали фильтр при последнем запуске Process Monitor, он запоминает этот параметр и автоматически открывает окно «Фильтр». Вы хотите начать этот сеанс с чистого листа, поэтому нажмите кнопку Сброс , чтобы вернуть критерии фильтрации к их настройкам по умолчанию; затем нажмите ОК .

Предположим, файл, который вы хотите просмотреть, называется «C: Temp Indexes.dat». Опять же, вы можете просмотреть информацию на главном экране, чтобы ваш файл появился в столбце «Путь», но, вероятно, будет проще щелкнуть значок «Фильтр» и создать фильтр «включить», чтобы отображалась только активность, относящаяся к этому файлу.

Щелкните значок «Фильтр» и в верхнем левом раскрывающемся списке выберите «Путь»; затем введите «C: Temp Indexes.dat» (без кавычек) в поле справа от раскрывающегося списка, содержащего слово «есть». (См. Рис. 2.)

Рис. 2. Фильтрация по определенному имени файла.

Теперь нажмите кнопки Добавить и OK , чтобы вернуться на главный экран. Теперь вы сможете точно увидеть, когда происходит доступ к файлу и какой процесс это делает.

В последнем сценарии, допустим, вы заметили то, что кажется чрезвычайно сложным. дисковая активность продолжается. Вы можете использовать Process Monitor, чтобы сделать снимок этого действия для последующего анализа. Запустите Process Monitor и сбросьте фильтрацию до состояния по умолчанию, как вы это делали во втором сценарии. Затем, когда вы находитесь на главном экране, щелкните значок «Захват» (третий слева). Это приводит к созданию снимка текущего действия и остановке прокрутки.

Чтобы теперь посмотреть на активность диска этого снимка, щелкните Инструменты | Пункт меню “Сводка файла” . Отображается диалоговое окно «Сводка файла», в котором отображаются все действия с файлами, зафиксированные в моментальном снимке. (См. Рис. 3.)

Рисунок 3. Сводка по файлу по пути.

В настоящее время эта сводка сортируется по столбцу Всего событий, но при нажатии на заголовок столбца данные сортируются по этому конкретному полю. Также интересно щелкнуть вкладку «По папкам», чтобы увидеть файлы, сгруппированные по их именам. (См. Рис. 4.)

Рис. 4. Сводка файлов по папкам.

Теперь вы можете развернуть, щелкнув знаки плюса слева и просмотрев, к каким файлам осуществляется доступ.

В этом совете представлены три сценария, с которыми вы можете столкнуться, когда Process Monitor можно использовать для диагностики проблем. Возможно, вы заметили, что есть еще много значков и пунктов меню, которые не были рассмотрены. Как было сказано в начале, лучший способ узнать, на что способен Process Monitor, – это поэкспериментировать с ним самостоятельно.