如何收集ProcMon日誌以排除AMP啟動問題
簡介
作為系統管理員,可能需要使用進程監控器(procmon.exe)獲取詳細日誌,以確定在電腦啟動過程中FireAMP聯結器是否發生掛起。思科TAC也會要求這些日誌排除此類問題。Process Monitor是一個免費的實用程式,可以在此處幫助我們。可從https://docs.microsoft.com/en-us/sysinternals/downloads/procmon免費下載
本文檔介紹在系統引導過程中(這意味著它在引導時生成BSOD)出現問題時如何收集ProcMon日誌和記憶體轉儲的步驟。 需要這些日誌來捕獲引導期間發生的系統事件。
過程:
1.設定測試機器,以便問題可以容易地再現。
2.以管理員身份下載並運行ProcMon工具。轉到File -> Process Monitor Backing Files並選擇路徑。
3.在Procmon工具中,轉到選項 — >啟用引導記錄。
4.選擇Generate threat profiling events,然後選擇Every second。
5.確保在Procmon中選擇了所有相關的篩選器並且正在收集資料。
6.如果無法複製崩潰,可以使用從中獲得的實用程式NotMyFault64.exe強制崩潰Windows https://live.sysinternals.com/files/
以下是關於如何運行的說明: https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump
7.使機器崩潰。
8.將電腦引導至安全模式並手動收集Procmon.pmb和MEMORY.DMP,這兩個檔案都位於C:\Windows資料夾中。這些檔案將與Cisco TAC共用。
7.(可選)如果在C:\Windows資料夾中生成PMB檔案,則可以將其引導至「正常模式」,則如果再次啟動ProcMon,您將看到以下日誌。通過此步驟,您可以通過按一下「儲存」按鈕重新儲存事件。
意見