KBBlog

MS Sysadmin and C# developer

sch

Les fonctionnalités méconnues de procmon

Rédigé par Swisstone Aucun commentaire

Process Monitor (ProcMon) est un logiciel incontournable dans le domaine de la recherche de problèmes dans un environnement Windows.

Qu'il s'agisse de lenteurs inexpliquées, de crash et plantages divers, procmon est bien souvent le seul outil qui permette de remonter à la source du problème, à condition de l'utiliser correctement.

Pour utiliser procmon efficacement, il vaut mieux éviter de se plonger immédiatement dans la liste des résultats. Voici quelques unes des astuces que j'utilise souvent dans mes investigations avec procmon.

Si le processus qui vous intéresse est toujours en cours d'exécution, et qu'il a une fenêtre visible, cliquez-glissez le viseur situé dans la barre d'outils sur une des fenêtres du programme en question.

Cette action aura pour effet de n'afficher que les événements du PID du processus en question (vous pouvez constater ceci en utilisant l'icône de l'entonnoir dans la barre d'outils, vous y verrez ainsi le filtre sur le PID)

Vous pouvez annuler tous les filtres qui ont été définis, très facilement et à tout moment, en appuyant sur CTRL-R (Ou Filter -> Reset Filters). Tous les événements capturés seront alors réaffichés.

Count Occurrences

Avant de continuer de filtrer l'affichage, j'aime bien avoir un aperçu global du contenu de la colonne "Results" sur toute la capture (afin de savoir s'il y a beaucoup d'Access Denied par exemple), pour cela j'utilise l'outil "Count Occurrences":

Ce qui produit un résultat qui ressemble à ça:

En double cliquant sur Access denied par exemple, procmon filtre les événements pour n'afficher que ceux dont le résultat est "Access Denied". Souvent l'investigation s'arrête là car on tombe directement sur l'opération incriminée.

Process Tree

En appuyant sur Ctrl-T (ou Tools -> Process Tree), procmon affiche une représentation graphique des processus présents dans la capture, ainsi que des liens parent-enfant entre eux. La zone verte "Life Time" permet de visualiser la durée de vie des processus.

Les 3 boutons situés en bas à gauche de la fenêtre sont très utiles: Go To Event, Include Process et Include Subtree pour voir tous les événements des processus enfants.

Boot Logging

Dans le menu "Options", il est possible d'activer "Enable Boot Logging". Une fois ceci activé, Procmon va enregistrer l'activité du système durant la phase de boot (et durant les ouvertures de sessions également). Il suffit de relancer Procmon à la fin du démarrage et il vous sera demandé si vous désirez enregistrer les événements qui ont été capturés.

Cette fonctionnalité permet de déterminer la cause de lenteurs au démarrage par exemple. L'utilisation de cette fonctionnalité en combinaison avec la précédent (Process Tree) est particulièrement intéressante.

 

Laisser un commentaire

Quelle est la troisième lettre du mot qvsh ?

Fil RSS des commentaires de cet article