2018-02-13
210
Можно сконфигурировать Procmon, чтобы начать регистрировать системное действие от точки очень рано в процессе загрузки. Это - функция, в которой Вы нуждаетесь, если Вы диагностируете проблемы, которые происходят прежде, во время, или в отсутствие пользовательского входа в систему, такого как те, которые включают, запускают начальная загрузка драйверы устройства, автоматически запускают службы, последовательность входа в систему непосредственно, или окружают инициализацию. Начальная загрузка, регистрирующая также, позволяет Вам диагностировать проблемы, которые происходят во время пользовательского выхода из системы и системного завершения работы.
Журналирование начальной загрузки - единственный режим Procmon, который терпим к "жестким" сбросам. Из-за этого это может помочь диагностировать систему, зависает и отказывает, включая тех, которые происходят во время запуска или завершения работы.
Когда Вы, которых Журналирование Начальной загрузки Включения от меню опций, Procmon конфигурирует свой драйвер, чтобы выполнить как начальная загрузка, запускаете драйвер, который загружается очень рано в последовательности загрузки при следующем системном запуске перед большинством других драйверов. Драйвер Прокмона зарегистрирует действие в %windir %\Procmon. PMB и это будут продолжать регистрировать через завершение работы или пока Вы выполните Procmon снова. Таким образом, если Вы не выполните Procmon во время сеанса начальной загрузки, то Вы получите трассировку всей "начальной загрузки, чтобы закрыть" вниз цикл. Как начальная загрузка запускают драйвер, это остается загруженным очень поздно в последовательность завершения работы.
|
|
|
После загрузок драйвера запуска начальная загрузка это изменяет свою конфигурацию запуска, чтобы быть драйвером запуска требование для последующих начальных загрузок. Следовательно, когда Вы включаете журналированию начальной загрузки, это только для следующей начальной загрузки. Чтобы включить журналированию начальной загрузки для последующих начальных загрузок, следует явно включить этому снова каждый раз.
Когда Вы выполняете Procmon, он надеется видеть, был ли несохраненный журнал начальной загрузки сгенерирован, или от текущего сеанса или от предыдущего сеанса начальной загрузки. Если Procmon находит один, он спрашивает Вас, ли и где Вы хотите поместить обработанный выходной файл журнала начальной загрузки. (См. рисунок 4-19.) Procmon тогда открывает и выводит на экран сохраненный журнал. Если Вы не сохраните журнал начальной загрузки к другому расположению, то он будет перезаписан в следующий раз, когда Вы получаете журнал времени загрузки.
|
|
|
Рис. 4-19. Procmon запрашивает, ли и где сохранить журнал начальной загрузки.
Смотря на действие времени загрузки, помните, что Системный процесс - единственный процесс рано в начальной загрузке и что действие, происходящее из Системного процесса, фильтруется по умолчанию. Выберите Усовершенствованный Вывод в меню Filter, чтобы видеть Системное действие процесса.
Отметьте, что трассировка сетевых событий зависит от Трассировки событий для Windows (ETW) и не доступна в журналах начальной загрузки. Кроме того, события Process и Thread Profiling не получаются во время журналов начальной загрузки также. Наконец, отметьте, что Procmon не конфигурирует свое журналирование начальной загрузки, чтобы работать во время Безопасного Режима.
Если Вы конфигурируете журналирование начальной загрузки, и система отказывает рано в начальной загрузке, можно деактивировать журналирование начальной загрузки, выбирая опцию Last Known Good из меню начальной загрузки Windows. Нажмите F8 во время запуска Windows, чтобы получить доступ к этой опции.
