desktopsupportpanel.com
les fenêtres

Comment utiliser Process Monitor pour suivre les modifications du registre et du système de fichiers

Process Monitor est un excellent outil de dépannage de Windows Sysinternals qui affiche les fichiers et les clés de registre auxquels les applications accèdent en temps réel. Les résultats peuvent être enregistrés dans un fichier journal, que vous pouvez envoyer à un expert pour analyser un problème et le dépanner.

Voici un guide sur la façon de capturer les accès au registre et au système de fichiers par les applications, et de générer un fichier journal à l'aide de Process Monitor pour une analyse plus approfondie.

Utiliser Process Monitor pour suivre les modifications du registre et du système de fichiers

Scénario: Supposons que vous ne puissiez pas écrire correctement dans le fichier HOSTS sous Windows et que vous souhaitiez savoir ce qui se passe sous le capot. Chaque étape de l'article suivant tourne autour de cet exemple de scénario.

Étape 1: Exécution de Process Monitor et configuration des filtres

  1. Téléchargez Process Monitor à partir du site Windows Sysinternals .
  2. Extrayez le contenu du fichier zip dans un dossier de votre choix.
  3. Exécutez l'application Process Monitor
  4. Incluez les processus sur lesquels vous souhaitez suivre l'activité. Pour cet exemple, vous souhaitez inclure Notepad.exe dans les filtres (Inclure).

    $config[ads_text6] not found

  5. Cliquez sur Ajouter, puis sur OK .

    Conseil: Vous pouvez également ajouter plusieurs entrées, au cas où vous souhaiteriez suivre quelques processus supplémentaires avec Notepad.exe . Pour simplifier cet exemple, Notepad.exe uniquement Notepad.exe .

    (Vous verrez maintenant la fenêtre principale de Process Monitor suivre la liste des accès au registre et aux fichiers par les processus en temps réel, au fur et à mesure qu'ils se produisent.)

  6. Dans le menu Options, cliquez sur Sélectionner les colonnes .
  7. Sous «Détails de l'événement», activez le numéro de séquence et cliquez sur OK .

Étape 2: capturer des événements

  1. Ouvrez le Bloc-notes.
  2. Basculez vers la fenêtre Process Monitor.
  3. Activez le mode «Capture» (s'il n'est pas déjà activé). Vous pouvez voir l'état du mode «Capture» via la barre d'outils Process Monitor.

    Le bouton en surbrillance ci-dessus est le bouton «Capture», qui est actuellement désactivé. Vous devez cliquer sur ce bouton (ou utiliser la séquence de touches Ctrl + E) pour activer la capture des événements.

  4. Nettoyer la liste des événements existants à l'aide de la séquence de touches Ctrl + X (Important) et recommencer à nouveau
  5. Basculez maintenant vers le Bloc-notes et essayez de reproduire le problème .

    Pour reproduire le problème (pour cet exemple), essayez d'écrire dans le fichier HOSTS ( C:\Windows\System32\Drivers\Etc\HOSTS ) et enregistrez-le. Windows propose d'enregistrer le fichier (en affichant la boîte de dialogue Enregistrer sous) sous un nom différent ou dans un emplacement différent .

    Alors, que se passe-t-il sous le capot lorsque vous enregistrez dans un fichier HOSTS? Process Monitor le montre exactement.

  6. Basculez vers la fenêtre Process Monitor et désactivez la capture (Ctrl + E) dès que vous reproduisez le problème. Remarque importante: ne prenez pas beaucoup de temps pour reproduire le problème après avoir activé la capture. De même, désactivez la capture dès que vous avez fini de reproduire le problème. Ceci permet d'empêcher Process Monitor d'enregistrer d'autres données inutiles (ce qui rend la partie d'analyse plus difficile). Vous devez faire tout cela le plus rapidement possible.

    Solution: Le fichier journal ci-dessus nous indique que le Bloc-notes a rencontré une erreur ACCESS DENIED lors de l'écriture dans le fichier HOSTS . La solution serait d'exécuter simplement le Bloc-notes élevé (clic droit et choisissez «Exécuter en tant qu'administrateur») pour pouvoir écrire correctement dans le fichier HOSTS .

Étape 3: enregistrement de la sortie

  1. Dans la fenêtre Process Monitor, sélectionnez le menu Fichier et cliquez sur Enregistrer
  2. Sélectionnez Native Process Monitor Format (PML), mentionnez le nom et le chemin du fichier de sortie, enregistrez le fichier.

  3. Cliquez avec le bouton droit sur le fichier Logfile.PML, cliquez sur Envoyer vers et choisissez le Compressed (zipped) folder . Cela comprime le fichier de ~90% . Regardez le graphique ci-dessous. Vous voulez certainement compresser le fichier journal avant de l'envoyer à quelqu'un.

Note de l'éditeur: je suggère généralement à mes clients d'enregistrer le journal avec l'option Tous les événements afin de pouvoir obtenir de nombreuses options pour dépanner efficacement le sujet. Si vous voulez m'envoyer un journal de Process Monitor, assurez-vous d'activer l'option Tous les événements lors de l'enregistrement du fichier journal. N'oubliez pas non plus de compresser (.zip) le fichier journal avant de l'envoyer.

$config[ads_text6] not found

Voilà, lecteurs. Pour garder la documentation simple, j'ai utilisé l'exemple le plus simple pour qu'un utilisateur final comprenne clairement comment suivre efficacement les événements du registre et du système de fichiers à l'aide de Process Monitor et générer le fichier journal.

Articles Connexes

Correction de la disposition des icônes du bureau qui n'était pas enregistrée lors du redémarrage de Windows les fenêtres

Correction de la disposition des icônes du bureau qui n'était pas enregistrée lors du redémarrage de Windows

Comment sauvegarder complètement le registre automatiquement dans Windows 10 les fenêtres

Comment sauvegarder complètement le registre automatiquement dans Windows 10

Comment modifier le registre hors ligne à l'aide de l'environnement de récupération Windows? les fenêtres

Comment modifier le registre hors ligne à l'aide de l'environnement de récupération Windows?

Correction du menu Envoyer vers affichant uniquement le périphérique Bluetooth dans Windows 10 les fenêtres

Correction du menu Envoyer vers affichant uniquement le périphérique Bluetooth dans Windows 10