Win­dows ana­ly­se­ren met Pro­cess Mo­ni­tor, deel 2

Win­dows ana­ly­se­ren met Pro­cess Mo­ni­tor – deel 2

C’t Magazine - - Inhoud - Axel Vahl­diek

De free­wa­re-tool Pro­cess Mo­ni­tor logt al­le be­na­de­rin­gen van be­stan­den, map­pen, het re­gis­ter en nog een paar din­gen. De in­lei­ding in de vo­ri­ge c't liet zien hoe je de stort­vloed aan ge­log­de ge­beur­te­nis­sen met fil­ters on­der con­tro­le kunt krij­gen. Maar het pro­gram­ma kan nog veel meer en biedt veel func­ties en op­ties om het ge­bruik er­van mak­ke­lij­ker te ma­ken.

Niet voor niets geldt de Pro­cess Mo­ni­tor als een ge­reed­schap dat pas in de han­den van er­va­ren ge­brui­kers zijn wa­re kracht laat zien. Na de in­lei­ding in de vo­ri­ge c't [1] vind je hier di­ver­se ge­vor­der­de tips. We ver­tel­len je bij­voor­beeld wel­ke in­for­ma­tie je nog meer uit het pro­gram­ma kunt ha­len, hoe je er boot­pro­ces­sen mee kunt mo­ni­to­ren en wel­ke valkui­len er zijn bij het in­ter­pre­te­ren van de ge­beur­te­nis­sen.

Al­tijd up-to-da­te

Eerst een tip bij het down­lo­a­den van het pro­gram­ma. Over­al wordt aan­ge­ra­den om sim­pel­weg de he­le Sysin­ter­nals Sui­te, waar Pro­cess Mo­ni­tor deel van uit­maakt, te down­lo­a­den om in één klap al­les bij de hand te heb­ben. Dat is op de com­pu­ter van ie­mand an­ders waar­voor je as­sis­ten­tie moet ver­le­nen ook een goed idee. Maar op je ei­gen pc is dat niet han­dig, ten­min­ste als die con­ti­nu aan in­ter­net hangt. Want bij het down­lo­a­den van de he­le sui­te zit er een ad­der­tje on­der het gras. De on­der­de­len wor­den steeds ver­der ont­wik­keld, waar­door de ko­pie­ën op je schijf steeds ou­der wor­den. De op­los­sing: open niet al­leen zo­als in het eer­ste deel ge­noemd \\li­ve.sysin­ter­nals.com als net­werk­schijf, maar zet die met een sta­ti­onslet­ter in de Ver­ken­ner. Dan heb je een sta­ti­on waar­op zon­der ver­de­re be­moei­e­nis steeds de ac­tu­e­le ver­sies van de tools staan.

Om dit te doen, open je een Op­dracht­prompt. Let er­op dat de­ze zon­der ad­mi­ni­stra­tor­rech­ten draait. Want de Ver­ken­ner waar­in het sta­ti­on op­ge­no­men moet wor­den, draait stan­daard ook zon­der ad­min-

rech­ten. Het ge­volg zou dan zijn dat een met adm­in­rech­ten toe­ge­voegd net­werk­sta­ti­on niet te zien zou zijn. In de Op­dracht­prompt typ je het vol­gen­de in:

net use s:

"\\li­ve.sysin­ter­nals.com\tools"

Dit com­man­do voegt de ver­za­me­ling tools als sta­ti­on S: toe. Je kunt ook een an­de­re let­ter kie­zen. De naam die het sta­ti­on in de Ver­ken­ner krijgt, kun je vrij aan­pas­sen. Ge­woon wij­zi­gen in de Ver­ken­ner. Als je de tools af en toe ook in een met adm­in­rech­ten draai­en­de Op­dracht­prompt wilt ge­brui­ken, her­haal je het bo­ven­staan­de pro­ce­dé nog een keer in een Op­dracht­prompt met de­zelf­de rech­ten.

Bij het be­na­de­ren van het net­werk­sta­ti­on treedt er een klei­ne ver­tra­ging op. Dat komt om­dat We­bDAV er­tus­sen zit [2]. Als je geen zin hebt in de wacht­tijd, kun je met het vol­gen­de com­man­do:

net use s: /d

zo'n sta­ti­on weer los­kop­pe­len.

RAM spa­ren

Hoe lan­ger Proc­mon logt, des te gro­ter wordt de hoe­veel­heid vast­ge­leg­de da­ta – en die vult het werk­ge­heu­gen. Als Proc­mon lan­ger moet log­gen, bij­voor­beeld om een maar af en toe op­tre­den­de ge­beur­te­nis op het spoor te ko­men, kan het zin­vol zijn het aan­tal vast­ge­leg­de ge­beur­te­nis­sen te re­du­ce­ren door ge­beur­te­nis­sen die niet bin­nen het fil­ter val­len met­een te wis­sen. Klik daar­voor in het me­nu on­der 'Fil­ter' op 'drop fil­te­red events'.

Denk er­aan dat je dan ach­ter­af al­leen de over­ge­ble­ven ge­beur­te­nis­sen kunt ana­ly­se­ren. Als je dan ont­dekt dat er per on­ge­luk iets be­lang­rijks weg­ge­fil­terd is, moet je weer he­le­maal op­nieuw be­gin­nen. Je moet dus per ge­val be­pa­len of je de­ze op­tie wilt ge­brui­ken.

Boot­log­ging

Voor­dat de Pro­cess Mo­ni­tor ge­beur­te­nis­sen (events) kan vast­leg­gen, moet hij na­tuur­lijk eerst zelf draai­en. Maar hij kan ook ge­beur­te­nis­sen log­gen die nor­ma­li­ter al eer­der plaats­vin­den, bij­voor­beeld tij­dens het aan­mel­den. Want Proc­mon kan het boot­pro­ces mo­ni­to­ren. Dat is mak­ke­lijk in te stel­len. Klik bij Proc­mon on­der 'Op­ti­ons' op 'Ena­ble Boot Log­ging'. Ver­vol­gens kun je kie­zen of je 'Pro­fi­ling'-ge­beur­te­nis­sen wilt vast­leg­gen. Daar­bij gaat het om log­ge­ge­vens voor elk pro­ces waar­in staat hoe­veel ge­heu­gen het in be­slag neemt en hoe­veel cpu-tijd het tot nu toe ge­bruikt heeft. Daar­mee kun je bij­voor­beeld pro­ces­sen ont­dek­ken die in een ein­de­lo­ze lus zijn blij­ven han­gen. Bij dit soort pro­ces­sen loopt de 'user ti­me' bij el­ke tik met een se­con­de of meer op. Maar als je re­gis­ter­ge­beur­te­nis­sen wilt on­der­zoe­ken, heb je dat niet no­dig.

Na de be­ves­ti­ging met 'OK' ge­beurt er ogen­schijn­lijk niets. Maar het mo­ni­to­ren is wel de­ge­lijk in­ge­steld. Start Win­dows ge­woon op­nieuw op. Tij­dens en na het op­nieuw op­star­ten ge­beurt er schijn­baar nog steeds niets. Maar zo­dra je Proc­mon hebt op­ge­start, ver­schijnt de vraag of je de tij­dens het boot­pro­ces ver­za­mel­de ge­ge­vens ('col­lec­ted da­ta') wilt op­slaan. Be­ves­tig dit met 'Ja' en kies ver­vol­gens een plek waar je het be­stand wilt op­slaan. Daar­in ko­men di­ver­se be­stan­den met de ex­ten­sie .pml. Het aan­tal hangt af van de hoe­veel­heid ge­ge­vens. Na het op­slaan laat Proc­mon de in­houd zien. De­ze be­gint met het star­ten van de Win­dows-ses­siema­na­ger smss.exe.

Als je de boot log­ging ac­ti­veert, moet je op twee din­gen let­ten. Het eer­ste ge­beurt al­leen als Win­dows he­le­maal op­nieuw op­start, niet als het al­leen maar uit

de slaap­stand wordt ge­haald. In die laat­ste stand gaan Win­dows 8.1 en 10 ook als je 'Af­slui­ten' kiest. Kies je daar­en­te­gen 'Op­nieuw op­star­ten', dan sluit Win­dows zich­zelf he­le­maal af en start ver­vol­gens weer op. In de twee­de plaats moet je Proc­mon zo snel mo­ge­lijk na het op­star­ten aan­roe­pen. Want de hoe­veel­heid aan ge­log­de events kan niet al­leen zeer on­o­ver­zich­te­lijk wor­den, maar ook de har­de schijf vol­ma­ken. Ze wor­den na­me­lijk tot de vol­gen­de start van Proc­mon in het be­stand proc­mon.pmb in de Win­dows-map op­ge­sla­gen. Dit be­stand groeit per se­con­de met meer­de­re MB's, zelfs als er ogen­schijn­lijk niets ge­beurt. En mocht bij­voor­beeld de vi­rus­scan­ner na het op­star­ten een rou­ti­nes­can van de har­de schijf star­ten, dan gaat de groot­te van het be­stand snel over de GB-grens heen. In het erg­ste ge­val loopt op den duur de schijf vol als de op­tie boot­log­ging per on­ge­luk ac­tief blijft. Dat maakt ver­der niets uit, want je kunt het be­stand op dit mo­ment wel­is­waar niet ver­wij­de­ren, om­dat Win­dows het blok­keert, maar na een her­start kan dat wel.

Door­stu­ren

Je kunt zelf re­sul­ta­ten in be­stan­den op­slaan, bij­voor­beeld om een gro­te­re hoe­veel­heid ge­beur­te­nis­sen op de snel­le desktop-pc in plaats van op het tra­ge net­book zelf te on­der­zoe­ken. Of om de logs van an­der­mans com­pu­ter waar jij be­heer­der van mag spe­len, op een usb-stick naar huis of naar je ei­gen kan­toor mee te ne­men om ze daar in al­le rust te on­der­zoe­ken. De be­no­dig­de ven­sters voor ope­nen en op­slaan zijn dui­de­lijk ge­noeg.

Ook soft­wa­re­ont­wik­ke­laars kun­nen er­van pro­fi­te­ren als ze van hun ge­brui­kers bij pro­ble­men log­be­stan­den ont­van­gen. Want die zeg­gen vaak veel meer dan fout­om­schrij­vin­gen als "hij loopt el­ke keer vast". Di­ver­se pro­du­cen­ten van vi­rus­scan­ners heb­ben hand­lei­din­gen voor het log­gen van het boot­pro­ces op hun web­si­te ge­zet en wil­len de logs even­eens graag ont­van­gen voor ver­de­re ana­ly­se.

Ko­lom­men

Proc­mon slaat per ge­beur­te­nis meer ge­ge­vens op dan op het eer­ste ge­zicht te zien zijn. Met een dub­bel­klik op een ge­beur­te­nis krijg je een ven­ster met drie tab­bla­den. Daar vind je on­der an­de­re het pad van het uit­voer­ba­re be­stand van het pro­ces dat bij de ge­beur­te­nis hoort, met wel­ke pa­ra­me­ters het ge­start werd, het ac­count met de rech­ten waar­van het pro­ces draait, wan­neer het ge­start werd, of het om een 32of 64-bit ap­pli­ca­tie gaat en nog veel meer. Je kunt de­ze ge­ge­vens ook als ex­tra ko­lom­men toe­voe­gen. Klik in de me­nu­balk on­der Op­ti­ons op 'se­lect co­lumms'. Je krijgt dan een se­lec­tie­ven­ster. Je kunt hier ex­tra ko­lom­men toe­voe­gen door ze aan te vin­ken.

Fil­ters

Het op­slaan van fil­ters loont pas echt, als je de no­di­ge moei­te hebt ge­sto­ken in het sa­men­stel­len er­van. De bij­be­ho­ren­de func­ties vind je in de me­nu­balk on­der 'Fil­ter'.

Stan­daard slaat Proc­mon de fil­ters op als re­gis­ter­sleu­tels. Maar je kunt ze ook on­der 'Op­ti­ons / Or­ga­ni­ze Fil­ters' naar een be­stand ex­por­te­ren en op een an­de­re pc weer im­por­te­ren. Proc­mon ver­raadt ove­ri­gens zelf waar het de fil­ters in het re­gis­ter op­slaat. Zet daar­voor de fil­ters via 'Re­set' te­rug op de stan­daard­waar­den en be­werk ver­vol­gens de re­gel met 'Va­lue' 'Proc­mon. exe': dub­bel­klik er­op en ver­an­der 'Ex­clu­de' in 'In­clu­de'. Het­zelf­de her­haal je op een 64bit sys­teem met de re­gel voor 'Proc­mon64. exe'. Ten slot­te nog een In­clu­de-re­gel voor 'Re­gSetVa­lue' zet­ten, klaar.

Voor klei­ne­re va­ri­a­ties in de in­ge­stel­de fil­ters is tus­sen­door op­slaan niet al­tijd no­dig. Want je kunt elk de­tail met een daar­voor ge­plaatst vin­kje uit en weer aan­zet­ten.

High­light

Het is han­dig om ge­beur­te­nis­sen met een kleur­tje te high­ligh­ten als je niet al­leen wilt zien wat je zoekt, maar ook wat er op dat mo­ment ver­der nog al­le­maal om­heen ge­beurt. Maar het kan ook in een an­de­re si­tu­a­tie han­dig zijn. Stel dat je een pad zoekt dat zo­wel be­grip A als B be­vat. Dat gaat niet met fil­ters, want als je twee pad­re­gels aan­maakt, wor­den de­ze niet met AND ge­com­bi­neerd, maar met OR. Proc­mon zou dan al­le ge­beur­te­nis­sen la­ten zien waar­van het pad A of B of al­le­bei be­vat. En dat is veel meer dan de door­sne­de. Fil­ter daar­om al­leen op A en stel een high­light in voor B. Het high­lightpic­to­gram zit di­rect naast het fil­ter­pic­to­gram. Bei­de dia­loog­ven­sters zien er iden­tiek uit en zijn ook iden­tiek te be­die­nen. De kleur voor het high­ligh­ten kun je on­der 'Op­ti­ons / High­light Co­lors' aan­pas­sen.

Om ge­high­ligh­te ge­beur­te­nis­sen in on­o­ver­zich­te­lij­ke mas­sa's te­rug te vin­den, is er een truc­je. Klik dub­bel op een ge­beur­te­nis om het de­tail­ven­ster ('Event Pro­per­ties') te ope­nen. Op het eer­ste tab­blad staan on­der­aan twee pijl­tjes om tel­kens naar de

vol­gen­de ge­beur­te­nis te sprin­gen. Als je daar een vin­kje voor 'Next High­ligh­ted' zet, spring je met de pijl­tjes al­leen tus­sen de ge­mar­keer­de ge­beur­te­nis­sen heen en weer. Het de­tail­ven­ster blok­keert het hoofd­ven­ster niet. Je kunt het dus op­zij schui­ven en al­leen ge­brui­ken voor het sprin­gen, ter­wijl het hoofd­ven­ster vol­le­dig bruik­baar blijft.

'Not found'

Een bij­zon­der frus­tre­rend re­sul­taat van een ge­beur­te­nis kan 'Not found' zijn. Want dan gaat het vrij­wel nooit om een fout of om de mel­ding dat hier iets ont­breekt. In te­gen­deel, het is heel nor­maal dat Win­dows of een ap­pli­ca­tie weet dat een be­no­digd be­stand of een re­gis­ter­sleu­tel op ver­schil­len­de plaat­sen kan staan en die dan een voor een af­gaat. Vindt het pro­gram­ma het be­stand dan niet in c:\win­dows, dan mis­schien in c:\win­dows/sy­s­tem32. En de re­gis­ter­sleu­tel niet in HKCU\Soft­wa­re\ Mi­cro­soft\Win­dows\Cur­renVer­si­on\Po­li­cies\Ex­plo­rer maar in HKLM op de­zelf­de plaats. Con­tro­leer eerst, voor­dat je je door een 'Not found' gek laat ma­ken, of kort daar­na een an­de­re be­na­de­ring van het­zelf­de be­stand of van de­zelf­de sleu­tel op een an­de­re plaats wel suc­ces­vol was. Om­ge­keerd be­te­kent de af­we­zig­heid van een 'Not found'-re­sul­taat he­le­maal niet dat er niets be­lang­rijks ont­breekt. Dat hangt er­van af hoe er op de ach­ter­grond naar iets ge­zocht wordt. Neem als voor­beeld een re­gis­ter­sleu­tel. Eerst wordt de root­sleu­tel ge­o­pend, bij­voor­beeld HKLM, ver­vol­gens de sub­sleu­tel en dan pas de sub­sub­sleu­tel. Zou de sub­sleu­tel al ont­bre­ken, dan volgt er geen po­ging meer om sub­sub­sleu­tels te ope­nen. En diens naam duikt dan ook niet in sa­men­hang met een 'Not found' op, hoe­wel hij mis­schien toch ont­breekt.

Kor­te tips

Een paar klei­nig­he­den zijn nog het ver­mel­den waard. Het vi­zier (cros­shairs) bij­voor­beeld kun je niet al­leen op pro­gram­ma's sle­pen, maar ook op fout­mel­din­gen. Dat kan van pas ko­men om uit te zoe­ken van welk pro­gram­ma die ei­gen­lijk af­kom­stig zijn. Pas op als je in­stel­lin­gen ver­an­dert die ad­mi­ni­stra­tor­rech­ten no­dig heb­ben, want dan kan het vi­zier in de war ra­ken. De Win­dows-ei­gen in­stel­lin­gen her­kent de tool bij­voor­beeld als Sys­temSet­tings. exe, maar na het weg­klik­ken van de vraag 'Weet je het ze­ker?', voert niet de­ze maar Sys­temSet­tingsAd­minFlows.exe de ei­gen­lij­ke taak uit.

Be­na­de­rings­fou­ten ont­dek je door op het event 'Ac­cess De­nied' te fil­te­ren.

Je kunt Proc­mon ook met op­drach­ten op de com­mand­line aan­stu­ren. Wel­ke dat zijn, staat in het help­be­stand proc­mon. chm, dat je even­eens op li­ve.sysin­ter­nals. com kunt vin­den.

Laat je niet van de wijs bren­gen door de op­tie 'Se­arch on­li­ne' in het snel­me­nu van een ge­beur­te­nis. Want in te­gen­stel­ling tot de an­de­re items is de­ze op­tie niet af­han­ke­lijk van de ko­lom waar je in klikt. Hij stuurt al­leen de naam van het pro­ces naar de zoek­ma­chi­ne die in de brow­ser als stan­daard staat in­ge­steld.

De in de me­nu­balk on­der Fil­ter staan­de op­tie 'Ena­ble Ad­van­ced Out­put' zorgt er­voor dat er niets meer uit­ge­fil­terd wordt. De re­set­knop op het fil­ter­scherm ge­ne­reert dan al­leen nog een uit­zon­de­rings­re­gel voor de pro­fi­ling. De­ac­ti­veer de op­tie weer, zo­dat de re­set­knop weer werkt zo­als in het be­gin.

Wan­neer je naar iets zoekt dat met je ei­gen be­stan­den te ma­ken heeft, geef het dan een unie­ke naam, zo­als 'ax­v­test'. Daar kun je mak­ke­lijk op fil­te­ren. Maar dat werkt niet al­tijd. Bij het zoe­ken naar het ach­ter­grond­plaat­je zou dat on­der Win­dows 7 bij­voor­beeld fout gaan (zie ka­der op pa­gi­na 131).

Ver­geet ten slot­te één ding niet: Proc­mon is wel een mach­tig stuk ge­reed­schap, maar kan toch niet al­les op­pik­ken. Een paar een­vou­di­ge voor­beel­den: toet­sen­bord­in­voer, muis­be­we­gin­gen en gra­fi­sche en akoes­ti­sche out­put wor­den net zo min ge­logd als de da­ta die over de net­werk­ver­bin­din­gen gaan. En ook als je Proc­mon een fijn pro­gram­ma vindt, ga er dan niet met­een elk pro­bleem mee te lijf. Want in veel ge­val­len heb je ge­noeg aan een­vou­di­ge­re tools. Te be­gin­nen bij het al­ou­de (be­kend van de En­gel­se tv-se­rie 'The IT Crowd') "Ha­ve you tried turning it off and on again?". In de vol­gen­de c't ver­schijnt het der­de deel van de Proc­mon-se­rie met tips voor pro­fes­si­o­nals en ont­wik­ke­laars. (jmu)

Als je \\li­ve. sysin­ter­nals.com als net­werk­sta­ti­on toe­voegt, ge­bruik je steeds de nieuw­ste ver­sie van Proc­mon.

De Pro­cess Mo­ni­tor slaat voor el­ke ge­beur­te­nis veel meer in­for­ma­tie op dan op het eer­ste ge­zicht te zien is.

Je kunt fil­ters niet al­leen op­slaan, maar ook ex­por­te­ren om ze op an­de­re pc's te ge­brui­ken.

Het high­ligh­ting-ven­ster. Dit ziet er pre­cies zo uit als dat voor de fil­ters, en laat zich ook zo be­die­nen. Het is ech­ter niet be­doeld om te fil­te­ren, maar om re­gels met een kleur­tje op te la­ten val­len.

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.