Отображение Событий Профилирования

Четыре класса событий, которые Procmon выводит на экран по умолчанию — реестр, файловая система, сеть, и действие процесса — представляют операции, инициируемые процессами на компьютере. Пятый класс события, профилируя события, включает искусственные события, периодически сгенерированные Procmon непосредственно (за исключением событий Debug Output Profiling, описанный в "Выводе Отладки введения в Трассировки Procmon" разделяют позже в этой главе). Профилирующие события не выводятся на экран по умолчанию, но они могут быть выведены на экран, переключая значок Show Profiling Events на панели инструментов.

События Profiling процесса сгенерированы для каждого процесса на компьютере однажды в секунду. Каждое событие получает время ЦП пользовательского режима и режима ядра, заряженное к процессу, так как это запускалось, частные байты, в настоящий момент выделенные процессом, и набором работы, использованным процессом. Атрибут Продолжительности для событий Process Profiling фиксируется в 0.

В отличие от этого с событиями Process Profiling, данные, полученные событиями Thread Profiling, не являются совокупными. Когда включено, события Thread Profiling получают количество времени ЦП пользовательского режима и режима ядра и число переключателей контекста начиная с предыдущего события профилирования потока. Атрибут Продолжительности сообщает о сумме времени ЦП пользовательского режима и режима ядра, и это может использоваться в правиле фильтра помочь идентифицировать шипы ЦП. События Profiling потока создаются только для потоков, у которых был по крайней мере один переключатель контекста во время интервала опроса, не для потоков в Неактивном процессе.

События Profiling процесса всегда сгенерированы однажды в секунду. События Profiling потока не сгенерированы по умолчанию, но им можно включить с Окном параметров Профилирования Потока (показанный в рисунке 4-7), к которому Вы получаете доступ, выбирая Профилирование Событий из меню опций. То, когда Генерируют События Профилирования Потока, выбирается, Procmon генерирует события Thread Profiling или однажды в секунду или десять раз в секунду согласно периоду, выбранному в Окне параметров.

Опции Профилирования потока.

Монитор процесса может генерировать события профилирования потока, которые получают состояние всех потоков выполнения в равном интервале.

Важное получение Профилирования Потока Включения - потенциально дорогая опция, которая должна использоваться только когда необходимо.

Рис. 4-7. Окно параметров Профилирования Потока.

Обнаружение События.

Чтобы счесть событие в основном окне Procmon основанным на тексте в конечном счете, откройтесь, Procmon Находят диалоговое окно, нажимая Ctrl + F или щелкая по значку бинокля на панели инструментов. Введите текст, который Вы ищете, и щелкаете по Find Next. Procmon выберет следующее событие, которое содержит поисковый текст в любом из выведенных на экран столбцов. Нажмите F3, чтобы повторить поиск, чтобы найти следующее событие соответствия. Функция Находки может быть полезной для быстрого определения местоположения события, все еще видя контекст предшествования и после событий, которые могли быть скрыты, если Вы использовали фильтр. (Фильтры обсуждаются в "Фильтрации и Выделении" раздела.)

Копирование Дан н ых События.

Нажмите Ctrl+C, чтобы скопировать выбранные данные события в буфер обмена как разделенный от вкладки текст. Отметьте, что можно использовать стандартные методы Windows для того, чтобы выбрать многократные элементы в списке, включая Shift+arrow или Shift+click, чтобы расширить выбор и Ctrl+click, чтобы выбрать элементы состоящие из нескольких несмежных участков. Procmon покорно скопирует текст с того, какой бы ни столбцы выводятся на экран для элементов, которые выбираются.

Можно скопировать текст с единственного поля, щелкая правой кнопкой по полю и выбирая Копию "полевой текст" из контекстного меню. В примере, показанном в рисунке 4-8, выбирая восьмой элемент в контекстном меню, копирует текст "HKCR\.exe\OpenWithProgids" в буфер обмена.