troushoo

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

  1. --/--/--(--) --:--:--|
  2. スポンサー広告

Process Monitorのインストールからチィップスまで (2)

Process MonitorとはMicrosoftのサイトからダウンロードできる無料のツールで、リアルタイムにファイルアクセス・レジストリアクセス・ネットワーク・プロセスといったイベントをモニターできます。したがって、システムやアプリの挙動を把握するのに強力に役に立ちます。
このシリーズでは、3回に分けてProcess Monitorを紹介しています。
1回目はインストール方法と基本的な使い方を説明しました。
今回と次回は、今年6月に開催されたTechEdのセッションのうち、Process Monitorの作者であるMark Russinovichがセッションで紹介したチィップスと、Process Monitorについても記述されているWindows Sysinternals Administrator’s Referenceの著者の一人であるAaron Margosisのセッションで紹介されたティップスを中心に説明します。
  追記: 3回目はこちらです。

v3.0からの新機能
Markのセッションで紹介されていた内容で、2012/3/26にリリースされた最新のメジャーバージョンv3.0からの機能について紹介します。
・ブックマーク
キャプチャしたイベントに対してブックマーク機能を使うことができるようになりました。
ブックマークするにはイベントを選択し、Evnet –> Toggle Bookmarkをクリックします。
ブックマーク
イベントを選択し、Ctrl + Bや右クリックより”Toggle Bookmark”でもOKです。
ブックマーク
すると、以下のようにブックマークされたイベントが太字で表示されます。
ブックマークされたイベントは太字で表示される
F6を押すことにより現在のカーソルより下にあるブックマークに移動することができます。(逆にShift + F6を押すことにより現在のカーソルより上にあるブックマークに移動します。)
この機能により簡単に調査中のイベントをお気に入りに登録することができます。

・ハイライト
キャプチャしたイベントに対して、ユーザー指定のルールをもとにイベントをハイライトできるようになりました。
以下の図は、Process Nameがwmiprvse.exeであるイベントをハイライトしたものです。薄い青色でハイライトされていることがわかります。
ハイライト後
ハイライトの設定の仕方は簡単です。
まずFilter –> Highlightをクリックします。
ハイライト
すると以下のようなウィンドウが表示されるので、ドロップダウンを選択し設定をします。
ハイライト設定画面
上図で設定した、Process Nameがwmiprvse.exeであるイベントをハイライトしたものを以下に記します。
【最初の選択】
以下のように様々なものから選択できる中から、Process Nameを選択します。
Process Name
【二番目の選択】
isを選択します。
is
【三番目の選択】
キャプチャしたイベントの中にあるプロセスが自動で表示されるので、その中からwmiprvse.exeを選択します。
wmiprvse.exe
【最後の選択】
Includeを指定します。
include
最後にAddをクリックすると以下のように表示されます。
ハイライト
最後にOKを押すとハイライトの設定完了し、上図のようにProcess Nameがwmiprvse.exeであるイベントがハイライトした状態になります。
また、ハイライトの他の設定方法として、右クリックから設定することも可能です。
以下の図は、Process NameがSearchIndexer.exeのイベント右クリックしたところです。簡単に”Process Name” “is”  “SearchIndexer.exe”のルールをハイライトすることができます。
右クリックからハイライト

・カレントディレクトリ・環境変数の表示
Process Startイベントに対して、そのプロセスのカレントディレクトリと環境変数を表示させることができるようになりました。
以下のような、Process Startイベントをダブルクリックすると、カレントディレクトリと環境変数が表示されます。
Process Startイベント
以下がカレントディレクトリと環境変数についての情報です。
カレントディレクトリと環境変数

フィルタについて
Process Monitorは強力なフィルタの機能を持っています。これにより必要な情報のみを表示させることができます。
以下、今年6月に開催されたTechEdで、Process Monitorについても記述されているWindows Sysinternals Administrator’s Referenceの著者の一人であるAaronのセッションで紹介されたティップスを説明します。

フィルタを設定するのは簡単です。メニューバーのフィルタをクリックします。
フィルタ
すると、以下のようにハイライトの時と同様の画面になります。
フィルタでは、デフォルトでいくつかのフィルタが設定されています。これは通常のトラブルシューティングでは必要にならないイベントを表示しないためです。たとえば、Process Monitor自身のイベントや、ページファイルに対するアクセスのイベントといったものがフィルタされています。
フィルタの設定画面
たとえば”Process Name” “is” “Explorer.EXE”のみを表示するというフィルタを作成すると、設定画面は以下のようになります。
Exporer.EXEのみ表示するルール 
Process Monitorの画面は以下のようにExplorer.EXEのみ表示されます。
Explorer.EXEのみ表示されている

Aaronのセッションで紹介されていたチィップスは、複数のフィルターのルールが指定されていた時の挙動です。
複数のルールは、同じ列の値については”OR”され、列間では”AND”されます。
(わかりにくいので下で例を挙げます。)
68-35
例として、以下の4つのルールがあるときを考えます。
・ PID is 1512
・ PID is 2408
・ Path Contains HKLM
・ Path Contains Zones
このときこれら4つのルールの合算のルールとしては以下になります。
((PID is 1512) OR (PID is 2408))
AND
((Path contains HKLM) OR (Path contains Zones))
68-36

リンク
・Process Monitorのサイト
http://technet.microsoft.com/ja-jp/sysinternals/bb896645.aspx
・Process Monitor v3.0についての説明
http://blogs.technet.com/b/sysinternals/archive/2012/03/26/updates-accesschk-v-5-03-autoruns-amp-autorunsc-v-11-22-procmon-v-3-0-pslist-v-1-3.aspx


  1. 2012/07/30(月) 16:30:58|
  2. ツール
  3. | トラックバック:0
  4. | コメント:0
<<Process Monitorのインストールからチィップスまで (3) | ホーム | Process Monitorのインストールからチィップスまで (1)>>

コメント

コメントの投稿


管理者にだけ表示を許可する

トラックバック

トラックバック URL
http://troushoo.blog.fc2.com/tb.php/67-eeab2d40
この記事にトラックバックする(FC2ブログユーザー)

スポンサーリンク

最新記事

月別アーカイブ

カテゴリ

ツール (92)
ネットワーク (76)
Visual Studio (56)
SOS・Psscor2/Psscor4 (25)
WinDbg (25)
Linux (24)
Azure (17)
Tips (20)
英語 (1)
About Me (1)
未分類 (0)

全記事表示リンク

全ての記事を表示する

検索フォーム

RSSリンクの表示

リンク

このブログをリンクに追加する

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。