Como coletar registros ProcMon para solucionar problemas de AMP na inicialização

Opções de download

  • PDF     (1.1 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (1.3 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (599.0 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:5 de fevereiro de 2020
ID do documento:215226

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Como administrador de sistema, você pode querer obter registros detalhados usando o Process Monitor (procmon.exe) para determinar se o conector FireAMP trava durante o processo de inicialização do computador. Esses registros também serão solicitados pelo Cisco TAC para solucionar esses problemas. O Process Monitor é um utilitário gratuito que pode nos ajudar aqui. Pode ser baixado gratuitamente em https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

Este documento descreve as etapas sobre como coletar registros ProcMon e despejo de memória se o problema ocorrer durante um processo de inicialização do sistema (o que significa que ele está gerando BSODs na inicialização). Esses registros são necessários para capturar os eventos do sistema que ocorrem durante a inicialização.

Procedimento:

1. Configurar as máquinas de ensaio de modo a que o problema possa ser facilmente reproduzido.

2. Baixe e execute a ferramenta ProcMon como administrador. Vá para File -> Process Monitor Backing Files e selecione um Path

3. Na ferramenta Procmon, vá para Options -> Enable Boot Logging (Opções -> Ativar registro de inicialização)

4. Selecione Gerar perfis de ameaças e a cada segundo.

5. Verifique se todos os filtros relevantes estão selecionados em Procmon e se os dados estão sendo coletados.

6. Se você não conseguir replicar o travamento, você pode forçar o travamento do Windows usando o utilitário NotMyFault64.exe que você pode obter do https://live.sysinternals.com/files/

As instruções sobre como executar estão aqui: https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump

7. Quebre a máquina.

8. Inicialize a máquina no modo de segurança e colete manualmente Procmon.pmb e MEMORY.DMP, ambos os arquivos estão em C:\Windows folder. Esses arquivos devem ser compartilhados com o Cisco TAC.

7. Opcionalmente, se você puder inicializá-lo no "modo normal" se os arquivos PMB forem gerados no diretório C:\Windows folder, se você iniciar o ProcMon novamente, verá os seguintes registros. A partir disso, você pode salvar novamente os eventos clicando no botão Salvar.

TAC Authored

Colaborado por engenheiros da Cisco

  • Sorin Antohe
    Cisco Advanced Threats BU

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos