分析 Process Monitor 日志文件 (PML) 的方法 - WKB124616

目的

分析 Process Monitor 追踪日志文件的多种方法探讨。

环境

• NuGenesis 9
• NuGenesis 8
• Empower 软件
• MassLynx 软件
• UNIFI

步骤

1. 首先，筛选与目标问题进程相关的日志文件。有关与 Waters 软件组件关联的进程名称，请参阅以下文章：
   • NuGenesis 客户端和服务器组件中涉及的进程名称是什么？
2. Control-End 方法：
   • 如果问题可重现，并且 procmon 跟踪在问题重现后不久停止，请按下 Control-End 键，转到日志文件中的最后一个可见事件。在很多情况下，比如程序正常退出或异常退出，都会出现“进程退出”事件。在该事件之前，将有一系列“线程退出”事件和/或 DLL 文件进程查询事件。这些事件可以忽略；它们是 Windows 正常程序清理的证据。这些事件前的最后一个事件最有可能与问题相关，很可能是尝试访问文件、注册密钥或在网络上发送/接收数据。
3. 比较方法：
   • 如果可能，请获取问题的 procmon 跟踪，并在另一台已成功的计算机上执行相同操作的跟踪。在一台计算机上打开两个日志文件并在两个文件中应用相同的筛选器（请再次参考 Waters 产品的进程列表）。逐步检查已知良好和有问题的日志文件。这两个日志的工作流程应相似，但用户名、计算机名称等的预期路径略有不同。“问题”日志与已知良好的日志的不同之处可能是问题的根源。
4. 计算发生次数方法：
   • 打开并适当筛选问题日志后，单击 Tools menu > Count Occurrences（“工具”菜单 > 计算出现次数）。在列表中选择 Result（结果）列，然后单击 Count（计数）。Procmon 列出 Result（结果）列中的所有不同值以及每个结果的编号。某些事件，例如 ACCESS DENIED，几乎总是值得灌注。双击表中的条目，使用 procmon 将条目筛选为该结果类型。这些条目的路径、涉及的进程、用户名，以及每个事件中的堆叠追踪对于确定这些条目是否与问题或问题的原因相关非常有用。
5. 时间限制 (time-box) 法：
   • 在某些情况下，问题不在于 Waters 软件进程本身，而在于操作系统或反恶意软件进程。在这种情况下，如果只有 Waters 流程可见，问题就不会很明显。按下 Control-R 重置筛选器，然后在问题发生前后以某种方式查找事件。右键单击菜单上的 Exclude Events Before（排除之前的事件）和 Exclude Events After（排除之后的事件）选项，可过滤掉大部分事件。这样可以使来自其他进程的事件在追踪中可见。常见可能与问题相关的是反恶意软件；当 Waters 进程尝试访问这些对象时，反恶意软件通常会打开/锁定文件或注册表项；这种干扰通常会导致 Waters 软件产品出现问题。

附加信息