Process Monitor von Sysinternals ist ein großartiges Diagnosetool, wenn Sie herausfinden möchten, was mit Prozessen und / oder Dateien geschieht. Ich habe dieses Tool im Tipp „Understanding Process Monitor“ eingeführt. In diesem Tipp zeige ich Ihnen, wie Sie einige seiner Funktionen tatsächlich für die Diagnose verwenden können.

Stellen Sie sich in diesem ersten Szenario vor, dass ein Prozess ausgeführt wird, der jedoch anscheinend nichts bewirkt. Sie möchten wissen, ob es hängt oder ob es tatsächlich etwas tut, das Sie im Moment einfach nicht erkennen können.

Wie bei allen Diagnosen können Sie verschiedene Ansätze wählen. Da sich dieser Tipp jedoch auf den Prozessmonitor konzentriert, werden wir seine Funktionen nutzen, um zu sehen, was los ist.

Starten Sie Process Monitor und prüfen Sie, ob Sie Ihren Bildlauf in der Spalte Prozessname beobachten können. Wenn Sie es nicht sehen, versuchen Sie es zu suchen, indem Sie auf das Fernglas-Symbol („Suchen“) klicken und den Prozessnamen eingeben (einschließlich seiner Erweiterung, z. B. „MyProgram.exe“). Wenn es gefunden wird, stoppt Process Monitor das Scrollen und markiert die Zeile, in der der Prozessname zuerst gefunden wird. Wenn Sie sich über den EXE-Namen nicht sicher sind, können Sie das Symbol „Prozess aus Fenster einschließen“ verwenden (achter von links). Sie verwenden dies, indem Sie auf das Symbol klicken und es in das Fenster ziehen, in dem Ihr Prozess ausgeführt wird. Wenn Sie das Symbol in das Fenster gezogen haben, lassen Sie die Maus los, und der Prozessmonitor wechselt zu der Zeile, in der sich der Prozess dieses Fensters befindet. An diesem Punkt können Sie alles über diesen bestimmten Prozess herausfiltern, sodass Sie ihn auf Aktivität beobachten können, ohne von allem anderen abgelenkt zu werden.

Das Filtern ist ein leistungsstarkes und dennoch einfaches Konzept in Process Monitor. Ein Filter kann so eingestellt werden, dass Einträge eingeschlossen oder ausgeschlossen werden. Es ist wichtig zu wissen, dass nur die Einträge angezeigt werden, die dem Filter entsprechen, wenn ein „Include“ -Filter aktiviert ist. Wenn Sie dagegen Filter „ausschließen“ aktiviert haben, wird alles außer dem, was im Filter enthalten ist, angezeigt. „Einschließen“ -Filter haben immer Vorrang vor „Ausschließen“ -Filtern.

Klicken Sie auf das Filtersymbol (die umgedrehte Pyramide). Beachten Sie, dass Process Monitor automatisch bereits einen „Include“ -Filter für den gefundenen Prozess erstellt hat, sodass Sie wirklich nichts anderes tun müssen, als im Filterfenster auf „Abbrechen“ zu klicken und im Hauptbildschirm auf Aktivitäten Ihres Prozesses zu achten. (Siehe Abbildung 1.)

image

Abbildung 1. Fenster „Prozessmonitorfilter“.

Nehmen wir in einem zweiten Szenario an, dass sich auf Ihrer Festplatte eine Datei befindet, die zeitweise ein merkwürdiges Verhalten aufweist. Beispielsweise ändert sich das Änderungsdatum gelegentlich oder es kommt manchmal zu einem Absturz aufgrund eines Fehlers „Datei von einem anderen Benutzer gesperrt“. Mit Process Monitor können Sie die Datei überwachen und sehen, auf welche Prozesse zugegriffen wird.

Starten Sie Process Monitor. Da Sie beim letzten Ausführen von Process Monitor einen Filter festgelegt haben, wird diese Einstellung gespeichert und das Filterfenster automatisch geöffnet. Sie möchten diese Sitzung mit einem sauberen Slate starten. Klicken Sie daher auf die Schaltfläche Zurücksetzen, um die Filterkriterien auf ihre Standardeinstellungen zurückzusetzen. Klicken Sie dann auf OK.

Angenommen, die Datei, die Sie ansehen möchten, heißt „C: \ Temp \ Indexes.dat“. Auch hier können Sie die Informationen im Hauptbildschirm anzeigen, damit Ihre Datei in der Spalte „Pfad“ angezeigt wird. Es ist jedoch wahrscheinlich einfacher, auf das Filtersymbol zu klicken und einen „Einschluss“ -Filter zu erstellen, sodass nur Aktivitäten in Bezug auf diese Datei angezeigt werden.

Klicken Sie auf das Filtersymbol und wählen Sie in der Dropdown-Liste oben links „Pfad“ aus. Geben Sie dann „C: \ Temp \ Indexes.dat“ (ohne Anführungszeichen) in das Feld rechts neben der Dropdown-Liste mit dem Wort „is“ ein. (Siehe Abbildung 2.)

image

Abbildung 2. Filtern nach einem bestimmten Dateinamen.

Klicken Sie nun auf die Schaltflächen Hinzufügen und OK, um zum Hauptbildschirm zurückzukehren.

Jetzt können Sie genau sehen, wann auf die Datei zugegriffen wird und welcher Prozess dies tut.

Nehmen wir in einem letzten Szenario an, Sie bemerken, dass anscheinend eine außerordentliche Menge an Festplattenaktivität stattfindet. Mit Process Monitor können Sie eine Momentaufnahme dieser Aktivität für die nachfolgende Analyse erstellen.

Starten Sie Process Monitor und setzen Sie die Filterung wie in Szenario 2 auf den Standardzustand zurück. Wenn Sie sich im Hauptbildschirm befinden, klicken Sie auf das Symbol „Erfassen“ (dritter von links). Dadurch wird eine Momentaufnahme der aktuellen Aktivität erstellt und der Bildlauf gestoppt.

Klicken Sie auf Extras |, um die Festplattenaktivität dieses Snapshots anzuzeigen Menüpunkt Dateizusammenfassung. Das Dialogfeld „Dateizusammenfassung“ wird angezeigt, das alle vom Snapshot erfassten Dateiaktivitäten enthält. (Siehe Abbildung 3.)

image

Abbildung 3. Dateizusammenfassung nach Pfad.

Diese Zusammenfassung ist derzeit nach der Spalte „Gesamtereignisse“ sortiert. Wenn Sie jedoch auf eine Spaltenüberschrift klicken, werden die Daten nach diesem bestimmten Feld sortiert. Es ist auch interessant, auf die Registerkarte „Nach Ordner“ zu klicken, um die nach Namen gruppierten Dateien anzuzeigen. (Siehe Abbildung 4.)

image

Abbildung 4. Dateizusammenfassung nach Ordner.

Jetzt können Sie einen Drilldown durchführen, indem Sie auf die Pluszeichen links klicken und sehen, auf welche Dateien zugegriffen wird.

In diesem Tipp wurden drei Szenarien vorgestellt, in denen Process Monitor zur Diagnose von Problemen verwendet werden kann. Möglicherweise haben Sie auf dem Weg bemerkt, dass es viele weitere Symbole und Menüelemente gibt, die nicht angesprochen wurden. Wie eingangs erwähnt, können Sie am besten herausfinden, was Process Monitor tun kann, indem Sie selbst damit experimentieren.

Dieser Tipp (13120) gilt für Windows 7, 8 und 10.