2018-02-13
214
Журналирование начальной загрузки - единственные предложения опции Procmon получить события очень поздно в последовательности завершения работы. Если Вы должны получить события, которые происходят во время или после пользовательского выхода из системы, но не нуждаются в полной трассировке завершения работы, начальная загрузка, регистрирующая всегда, остается опцией. Однако, в дополнение к данным поствыхода из системы Вы хотите получить, Вы закончите с журналом всего сеанса начальной загрузки от системного запуска на, который мог бы быть гораздо большим количеством данных, чем Вы хотите. Другая опция, тогда, должна запустить Procmon в пути, который переживает пользовательский выход из системы.
Один способ контролировать выход из системы пользователя состоит в том, чтобы усилить терминальные службы, используя или Быстрого Пользователя, Переключающегося или Удаленный рабочий стол. С целевым пользователем уже входил в систему, запустите новый сеанс как различного пользователя и запустите Procmon. Переключитесь назад на сеанс исходного пользователя и выйдите из системы. Возвратитесь к второму сеансу, и прекратите получать события. Установите фильтр на атрибуте Сеанса, чтобы видеть только события, которые произошли в пределах терминального сеанса служб исходного пользователя.
|
|
|
Другой эффективный способ получить действие поствыхода из системы состоит в том, чтобы использовать PsExec с-s опцией, чтобы выполнить Procmon как Систему в той же самой среде в который неинтерактивные Системные выполненные службы. Есть некоторые приемы к этому, тем не менее, потому что Вы не будете в состоянии взаимодействовать с этим экземпляром Procmon:
■ Вы должны определить отступающий файл на командной строке с/BackingFile. Помните, что эта установка придерживается. Так, если Вы выполняете Procmon и получаете данные снова как Систему, не определяя различный файл поддержки, Вы перезапишете свою предыдущую трассировку.
■ Следует определить /AcceptEula и /, Тихий на командной строке, чтобы гарантировать, что Procmon не пытается вывести на экран диалоговые окна, которые не могут быть отклонены.
■ Procmon должен быть выключен чисто. Чтобы сделать это, не завершая работу системы, следует выполнить Procmon / Оконечный тем же самым способом как исходная команда.
См. "Отступающие Файлы" и "Автоматизирующий Procmon: параметры командной строки" разделяют в этой главе для получения дополнительной информации об этих опциях. См. "Сеансы, Станции Окна, Рабочие столы, и сообщения Окна" в Главе 2, чтобы лучше понять базовые понятия, покрытые здесь. И см. Главу 6, "PsTools", для получения дополнительной информации о PsExec.
|
|
|
Вот командная строка в качестве примера, чтобы запустить трассировку Procmon, которая переживает выход из системы.
PsExec-d опция позволяет PsExec выходить, не ожидая целевого процесса, чтобы выйти.
Если PsExec-запущенный экземпляр Procmon будет работать как Система во время чистого системного завершения работы, то Procmon прекратит регистрировать, когда CSRSS разъединит процессы пользовательского режима. Чтобы получить события вне этой точки, журналирование начальной загрузки - единственная опция.
Продолжительные Трассировки и Управляющий Размерами журнала.
Файлы трассировки Procmon могут стать очень большими, особенно с журналированием начальной загрузки или другим долго - рабочие трассировки. Поэтому, Procmon обеспечивает несколько способов управлять размером файла системного журнала.
Отбросьте Фильтруемые События.
Обычно, Procmon зарегистрирует все системное действие, включая события, которые обычно никогда не выводятся на экран из-за активных фильтров. Тем путем у Вас всегда есть опция, чтобы установить фильтр, исследовать получающийся вывод, и затем изменить фильтр, чтобы видеть различный набор вывода. Однако, если Вы знаете перед продолжительной трассировкой, что никогда не должны будете видеть события для, можно препятствовать им занимать место в журнале, выбирая опцию Drop Filtered Events в меню Filter.
Когда Отбрасывание, Фильтруемые События выбираются, события, которые не соответствуют критериям фильтра, никогда не добавляется к журналу, уменьшая воздействие на размер журнала. Очевидно, те данные события не могут быть восстановлены позже. Эта опция влияет на только недавно собранные события. Любые события, которые уже были в журнале, не удаляются.
Отметьте, что фильтрация не применяется, в то время как журнал начальной загрузки собирается так Отбрасывание, Фильтруемые События не будут уменьшать дисковое воздействие использования во время трассировки журнала начальной загрузки., Но также и отметьте, что фильтры — и установка Drop Filtered Events — применяются, когда журнал начальной загрузки обрабатывается. Так, если Вы выбираете отбрасывать события и должны видеть Системное действие процесса или другие низкоуровневые события, удостоверьтесь, что выбрали Включение Усовершенствованный Вывод (Меню фильтра) перед перезагрузкой.
Глубина истории.
Монитор процесса наблюдает фиксировавшее использование памяти и события получения остановок, когда системная виртуальная память кончается. Открывая диалоговое окно Глубины Истории (показанный в рисунке 4-20) от меню опций, можно ограничить число записей, сохраненных так, чтобы можно было оставить Монитор Процесса, работающий в течение многих длительных периодов, и гарантировать, что это всегда сохраняет новые события. Диапазон идет от минимума 1 миллиона к 199 миллионам событий. Значение по умолчанию - 199 миллионов.
Глубина истории ограничивает общее количество событий, сохраненных во время выполнения.
Рис. 4-20. Диалоговое окно Глубины истории.
Поддержка Файлов.
По умолчанию Прокмон использует виртуальную память, чтобы хранить полученные данные. Если виртуальная память кончается, Procmon автоматически прекращает регистрировать и выводит на экран сообщение об ошибке. Если Ваше журналирование должно превысить емкость виртуальной памяти, можно сконфигурировать Procmon, чтобы хранить полученные данные к именованному файлу на диске. Предел емкости при использовании именованного файла - количество свободного пространства на жестком диске.
Можно сконфигурировать и видеть информацию об отступающих файлах, выбирая Отступающие Файлы из меню File. Монитор Процесса, Поддерживающий диалоговое окно Файлов, показанное в рисунке 4-21, открывается. Отступающие изменения конфигурации файла вступают в силу в следующий раз, когда Вы начинаете получать новый журнал или очищаете текущий журнал.
|
|
|
Монитор процесса может сохранить события в файле подкачки (ограниченный размером Вашего файла подкачки), или в файле Вы определяете (ограниченный свободным дисковым пространством).
Отметьте, что, если Вы выбираете именованный файл, Procmon мог бы создать дополнительные файлы, чтобы сохранить отдельные размеры файла управляемыми.
У файлов будет то же самое базовое имя, с постепенно увеличивающимся числом добавленным, как показано в рисунке 4-22.
Пока файлы сохраняются в той же самой папке и с тем же самым базовым именем, Procmon обработает набор файла как единственный журнал.
Отступающее диалоговое окно Файлов также выводит на экран диагностическую информацию, включая число полученных событий и число наблюдаемых процессов.
Монитор процесса может сохранить события в файле подкачки (ограниченный размером Вашего файла подкачки), или в файле Вы определяете (ограниченный свободным дисковым пространством).
