起動時にAMPの問題をトラブルシューティングするためにProcMonログを収集する方法
概要
システム管理者は、プロセスモニタ(procmon.exe)を使用して詳細なログを取得し、コンピュータの起動プロセス中にFireAMPコネクタがハングするかどうかを確認できます。これらのログは、このような問題のトラブルシューティングのためにCisco TACから要求されます。Process Monitorは無料のユーティリティで、ここで役立ちます。これはhttps://docs.microsoft.com/en-us/sysinternals/downloads/procmonから自由にダウンロードできます
このドキュメントでは、システムブートプロセス中に問題が発生した場合(つまり、ブート時にBSODを生成している場合)に、ProcMonログとメモリダンプを収集する手順について説明します。 これらのログは、ブート中に発生するシステムイベントをキャプチャするために必要です。
手順:
1.試験機を簡単に再現できるようにセットアップする。
2.管理者としてProcMonツールをダウンロードして実行します。[File] -> [Process Monitor] [Backing Files]の順に選択し、[Path]を選択します。
3. Procmonツールで、[Options] -> [Enable Boot Logging]に移動します。
4. [Generate threat profiling events]と[Every second]を選択します。
5.関連するすべてのフィルタがProcmonで選択され、データが収集されていることを確認します。
6.クラッシュを複製できない場合は、NotMyFault64.exeユーティリティを使用してWindowsを強制的にクラッシュさせることができます。このユーティリティは、Windowsから取得できます https://live.sysinternals.com/files/
これを実行する手順は次のとおりです。 https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump
7.マシンをクラッシュさせます。
8.マシンをセーフモードで起動し、Procmon.pmbとMEMORY.DMPを手動で収集します。両方のファイルはC:\Windows folderにあります。これらのファイルは、Cisco TACと共有する必要があります。
7.オプションとして、C:\Windows folderディレクトリにPMBファイルが生成された場合に通常モードで起動できる場合、ProcMonを再起動すると、次のログが表示されます。[保存]ボタンをクリックすると、イベントを再保存できます。
フィードバック