시작 시 AMP 문제를 해결하기 위해 ProcMon 로그를 수집하는 방법
소개
시스템 관리자는 프로세스 모니터(procmon.exe)를 사용하여 컴퓨터 시작 프로세스 중에 FireAMP 커넥터 환경이 중단되는지 여부를 확인하는 자세한 로그를 얻을 수 있습니다.이러한 로그는 Cisco TAC에서 이러한 문제를 해결하기 위해 요청합니다.Process Monitor는 여기에서 도움이 되는 무료 유틸리티입니다.이 파일은 https://docs.microsoft.com/en-us/sysinternals/downloads/procmon에서 무료로 다운로드할 수 있습니다.
이 문서에서는 시스템 부팅 프로세스 중에 문제가 발생할 경우(부팅 시 BSOD를 생성하는 중임) ProcMon 로그 및 메모리 덤프를 수집하는 방법에 대해 설명합니다. 이러한 로그는 부팅 중에 발생하는 시스템 이벤트를 캡처하는 데 필요합니다.
절차:
1. 문제가 쉽게 재현될 수 있도록 시험장치를 설정하는 방법
2. 관리자로 ProcMon 도구를 다운로드하여 실행합니다.File(파일) -> Process Monitor Backing Files(프로세스 모니터 백업 파일)로 이동하고 경로를 선택합니다.
3. Process Tool에서 Options(옵션) -> Enable Boot Logging(부팅 로깅 활성화)으로 이동합니다.
4. Generate threat profiling events(위협 프로파일링 이벤트 생성) 및 Every second를 선택합니다.
5. 프로세스에서 모든 관련 필터를 선택하고 데이터를 수집해야 합니다.
6. 충돌을 복제할 수 없는 경우 NotMyFault64.exe 유틸리티를 사용하여 충돌 Windows를 강제로 실행할 수 있습니다. https://live.sysinternals.com/files/
실행 방법에 대한 지침은 다음과 같습니다. https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump
7. 기계를 망가뜨리는 행위
8. 시스템을 안전 모드로 부팅하고 Procmon.pmb 및 MEMORY.DMP를 수동으로 수집합니다. 두 파일은 모두 C:\Windows folder에 있습니다.이러한 파일은 Cisco TAC와 공유됩니다.
7. 선택적으로, C:\Windows folder폴더에 PMB 파일이 생성된 경우 "일반 모드"로 부팅할 수 있는 경우 ProcMon을 다시 시작하면 다음 로그가 표시됩니다.여기에서 Save(저장) 버튼을 클릭하여 이벤트를 다시 저장할 수 있습니다.
피드백