Отслеживание процесса создания и времени выхода с помощью Process Monitor

Мой предыдущий пост Список запущенных процессов и время их создания помогает вам отслеживать процессы, которые в данный момент выполняются. И пост Как найти, если окно неизвестной программы, которое открывалось и закрывалось сразу, было запланированной задачей? сообщает вам, было ли окно последнего запуска программы запланированным или нет.

Хотя эти сообщения могут быть полезны, чтобы узнать, что работает в системе, эти методы по-прежнему отсутствуют.

В первом посте рассказывается о Process Explorer, который показывает представление запущенных процессов в реальном времени, но не отслеживает процессы, которые запускались за несколько минут до того и затем завершались.

Process Explorer выделяет новые процессы на пару секунд, но не записывает историю создания или завершения или процессов завершения. И вторая ссылка выше, касается только запланированных задач. Однако вам может потребоваться получить список процессов (особенно недолговечных процессов), которые выполнялись в течение некоторого времени, а затем завершались. Process Monitor может быть полезен для получения этой информации.

Использование Process Monitor для отслеживания событий запуска и выхода процесса

Запустите Process Monitor, включите кнопку «Активность процесса» и отключите остальные.

Затем нажмите кнопку «Фильтр» (CTRL + L), чтобы открыть диалоговое окно « Фильтр монитора процесса ».

Настройте фильтры следующим образом:

 Операция - содержит - Процесс 

Нажмите Добавить, ОК. Process Monitor начнет запись событий и отобразит результаты, содержащие Process Create, Process Start, Process Exit в столбце Operation.

Совет. Если вы собираетесь запускать трассировку в течение длительного периода времени, рассмотрите возможность включения « Отбрасывать отфильтрованные события» в меню «Фильтр». Это гарантирует, что ваша память или диск не будут заполнены без необходимости; только сохраняет записи событий, которые прошли ваш фильтр.

Вот. Монитор процессов записал некоторые события запуска процесса и выхода из процесса. Чтобы узнать более подробную информацию о событии, дважды щелкните запись. Он показывает полную командную строку и путь этого процесса.

При желании можно включить столбец командной строки в диалоговом окне «Выбор столбца монитора процесса». В меню «Параметры» выберите «Выбрать столбцы…» и включите командную строку, а также порядковый номер .

Теперь в окне результатов появится столбец с именем Командная строка.

Дерево процессов

Вы также можете просмотреть список процессов в древовидном формате, который также показывает родительские процессы, путь, время жизни и другую информацию. В меню Сервис выберите Дерево процессов (CTRL + T).

Чтобы столбчатая диаграмма Life Time использовала время трассировки (время начала захвата) в качестве базы, вместо сеанса загрузки включите временные шкалы только для отображаемых событий .

Для дальнейшего анализа вы можете сохранить события в файле .PML, содержащем все события или отображаемые в данный момент события. Если вы собираетесь отправить этот журнал (для устранения проблемы) другу или знакомому, который может интерпретировать журнал, то перед отправкой журнала заархивируйте его. Сжатие уменьшает размер файла журнала .PML на 90%.

ПОХОЖИЕ СТАТЬИ