2018-02-13
266
"Пожалуйста, отправьте мне, журнал Procmon" мог бы быть одной из обычно используемых фраз специалистами по поддержке. Возможность видеть подробный журнал системного действия на удаленном компьютере позволяет диагностировать, чтобы быть выполненной через брандмауэры и часовые пояса, которые иначе были бы намного более трудными. И когда эта возможность объединяется с параметрами командной строки - описанный позже в этой главе, пользователь, получающий помощь, может только выполнить пакетную команду и не должен быть сказан, как сохранить журнал или иначе взаимодействовать с Procmon.
Сохранение Трассировки Procmon.
Чтобы сохранить трассировку Procmon, нажмите Ctrl+S или щелкните по значку Save по панели инструментов, чтобы открыть Сохранение В диалоговое окно Файла. (См. рисунок 4-17.)
Рис. 4-17. Сохраните К диалоговому окну Файла.
Можно решить сохранить все события, выводятся ли они на экран или нет, сохраняют только события, которые выводятся на экран текущим фильтром (с или не профилируя события), или только сохраняют события, которые выбираются текущими правилами выделения.
|
|
|
Procmon может сохранить трассировки к одному из трех форматов файла. PML - собственный формат файла Прокмона, который сохраняет все полученные данные с полной точностью, включая стек и информацию о модуле, так, чтобы это могло быть загружено в Procmon на той же самой системе или различной системе. Когда позже просматривающийся на системе, должным образом сконфигурированной со Средствами отладки для Windows, информация о модуле, сохраненная в файле PML, позволяет корректному символу и двоичным файлам быть загруженным с серверов символа. (Двоичные файлы загружаются в дополнение к символам, если имя компьютера от трассировки не то же самое как тот из текущего компьютера.) См. "раздел" Символов Конфигурирования Главы 2 для получения дополнительной информации.
Отметьте, что внутренний формат файла PML отличается для трассировок на x86 и x64 версиях Windows. Хотя получения x86 могут быть просмотрены на x86 или x64 системах, журналы, полученные на x64 выпусках Windows, могут быть просмотрены только на x64 системе. "Открытие Сохраненный раздел" Трассировок Procmon обеспечивает детали.
Другая опция должна сохранить полученные данные к файлу CSV. Файлы CSV полезны для импорта в Microsoft Excel или другие приложения анализа данных, или для выполнения сравнений, используя утилиты сравнения текстового файла, такие как WinDiff или fc.exe. С файлами CSV Procmon сохраняет только текстовые данные от столбцов, выбранных для дисплея. Первая строка CSV содержит имена столбцов. Чтобы сравнить два получения, сохраненные как файлы CSV, удостоверьтесь, что удалили столбцы, такие как Время суток, которое будет всегда отличаться.
|
|
|
Procmon может также сохранить свои данные к XML для того, чтобы обработать инструментами, которые могут проанализировать XML. Например, следующие строки сценария Windows PowerShell анализирует XML-файл Procmon и выводит сортированный список всех уникальных путей модуля, загруженных из за пределами иерархии папки C:\Windows.
Сохраняя к XML, можно дополнительно включать трассировки стека и разрешить символы стека во время сохранения. Отметьте, что эти опции увеличат размер сохраненного файла и время, требуемое сохранить это. Отметьте также, что попытка представить большие XML-файлы без схем в Internet Explorer принесет IE к своим коленям.
