Comment collecter les journaux ProcMon pour résoudre les problèmes AMP au démarrage

Options de téléchargement

  • PDF     (1.1 MB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (1.3 MB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (600.3 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:5 février 2020
ID du document:215226

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

En tant qu'administrateur système, vous pouvez obtenir des journaux détaillés à l'aide du Moniteur de processus (procmon.exe) pour déterminer si le connecteur FireAMP est suspendu au cours du processus de démarrage de l'ordinateur. Ces journaux seront également demandés par le TAC de Cisco afin de résoudre de tels problèmes. Process Monitor est un utilitaire gratuit qui peut nous aider ici. Vous pouvez le télécharger gratuitement à l'adresse https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

Ce document décrit les étapes de collecte des journaux ProcMon et du vidage de la mémoire si le problème survient lors d'un processus de démarrage du système (ce qui signifie qu'il génère des BSOD au démarrage). Ces journaux sont nécessaires pour capturer les événements système qui se produisent pendant le démarrage.

Procédure:

1. Installer les machines d'essai de manière à ce que le problème puisse être reproduit facilement.

2. Téléchargez et exécutez l'outil ProcMon en tant qu'administrateur. Accédez à Fichier -> Fichiers de sauvegarde du Moniteur de processus et sélectionnez un chemin d'accès

3. Dans l'outil Procmon, accédez à Options -> Activer la journalisation de démarrage

4. Sélectionnez Générer des événements de profilage des menaces et Toutes les secondes.

5. Assurez-vous que tous les filtres pertinents sont sélectionnés dans Procmon et que les données sont collectées.

6. Si vous ne parvenez pas à répliquer le plantage, vous pouvez forcer le plantage de Windows à l'aide de l'utilitaire NotMyFault64.exe que vous pouvez obtenir de https://live.sysinternals.com/files/

Les instructions relatives à l'exécution de sont disponibles ici : https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump

7. Crash de la machine.

8. Démarrez l'ordinateur en mode sans échec et collectez manuellement Procmon.pmb et MEMORY.DMP, les deux fichiers se trouvent dans C:\Windows folder. Ces fichiers doivent être partagés avec le TAC Cisco.

7. Si vous pouvez éventuellement le démarrer en « mode normal » si les fichiers PMB sont générés dans le fichier C:\Windows folder, alors si vous lancez à nouveau ProcMon, vous verrez les journaux suivants. À partir de là, vous pouvez réenregistrer les événements en cliquant sur le bouton Enregistrer.

TAC Authored

Contribution d’experts de Cisco

  • Sorin Antohe
    Cisco Advanced Threats BU

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits