使用指南)
进程监视器(Process Monitor)使用指南
1. 查看堆栈跟踪符号
若要查看堆栈跟踪中的符号,捕获跟踪的系统无需安装调试工具或配置符号,但查看跟踪的系统必须同时具备这两者。此外,该系统还必须能够访问跟踪系统的符号文件和二进制文件。对于 Windows 文件,Microsoft 公共符号服务器通常会提供这些文件。需注意,32 位版本的 Procmon 需要加载 32 位的 Dbghelp.dll。由于 32 位版本的 Procmon 将其所有配置设置存储在与 64 位版本不同的注册表项中,因此在使用 /Run32 选项启动 Procmon 后,需为 x86 跟踪配置符号。
2. 记录启动、注销后和关机活动
2.1 启动日志记录
可以将 Procmon 配置为从启动过程的早期开始记录系统活动。若要诊断在用户登录之前、期间或没有用户登录时发生的问题,如涉及启动启动设备驱动程序、自动启动服务、登录序列本身或 shell 初始化的问题,此功能非常有用。启动日志记录还能帮助诊断用户注销和系统关机期间发生的问题。
启动日志记录是 Procmon 唯一能容忍硬重置的模式,因此它有助于诊断系统挂起和崩溃问题,包括在启动或关机期间发生的问题。
除了文件、注册表和进程事件外,启动日志还包括 Procmon 生成的进程分析事件。当从“选项”菜单中选择“启用启动日志记录”时,Procmon 还会通过对话框(如图 5 - 20 所示)提供生成线程分析事件的选项,频率可以是每秒一次或每秒十次。如果决定不启用启动日志记录,可以在此处点击“取消”。“启用启动日志记录”菜单选项在启用时会显示一个复选标记,可通过切换该菜单选项来取消启动日志
