2018-02-13
227
Procmon, работающий на x86 системе, может открыть только трассировки, полученные на x86 системе. Procmon, работающий на x64 системе, может открыть x86 или трассировки x64, но это должно быть в корректном режиме для архитектуры. Чтобы открыть трассировку x86 на x64, Procmon должен быть запущен с /Run32 параметра командной строки выполнить 32-разрядную версию Procmon. Отметьте, что, работая в 32-разрядном режиме на x64, Procmon не может получить события.
Если Procmon уже работает, откройте Файл Открытое диалоговое окно, щелкая по значку панели инструментов Open. Можно открыть файл системного журнала Procmon от командной строки с /OpenLog параметром командной строки следующим образом:
■ Для открытия x86 прослеживает на x64: procmon.exe/run32/openlog logfile.pml
■ Всюду еще: procmon.exe/openlog logfile.pml
Каждый раз, когда Вы выполняете Procmon, он регистрирует ассоциацию файла в расчёте на пользователя для.PML к текущему пути Procmon с /OpenLog опцией. Так, после того, как Вы выполнили Procmon одно время, можно открыть файл системного журнала Procmon просто, дважды щелкая по этому в Проводнике. Если Вы выполните Procmon с /Run32 опцией, то та опция будет также добавлена к ассоциации файла. Так, если Вы анализируете ряд 32-разрядных журналов, можно сделать так от Проводника. /Run32 опция будет удалена из ассоциации, если Вы позже выполните Procmon без той опции.
Procmon не требует административных прав открыть существующий файл системного журнала, и он не будет запрашивать повышение на Windows Vista и более новых версиях когда запущено с /OpenLog опции. Однако, если Вы позже будете хотеть получить события, то Вы должны будете перезапустить Procmon с административными правами.
Файл системного журнала включает информацию о системе, на которой данные были собраны, включая имя компьютера, версию операционной системы и является ли это 32-разрядным или 64-разрядным, системный корневой путь, число ЦП, и количество RAM. Можно видеть это в Системном диалоговом окне Деталей (показанный в рисунке 4-18) в меню Tools.
Системное диалоговое окно Деталей РИСУНКА 4-18.
Чтобы просмотреть символы в трассировках стека, системе, на которой была получена трассировка, не должны были установить средства отладки, ни сконфигурированные символы, но у системы, на которой просматривается трассировка, должны быть оба. Кроме того, у этого должен быть доступ к файлам символа и двоичным файлам для системы трассировки. Для файлов Windows сервер символа общественности Microsoft будет обычно обеспечивать их.
Журналирование Начальной загрузки, Поствыхода из системы, и Действия Завершения работы.
До этой точки в главе все, что было описано о Procmon, предполагает, что Вы зарегистрированы в интерактивном рабочем столе. Procmon также обеспечивает пути к действию системы контроля, когда никто не вошел в систему и после того, как пользователи вышли из системы.
