如何收集ProcMon日志以排除启动时的AMP问题

下载选项

  • PDF     (1.2 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.3 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (590.6 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2020 年 2 月 5 日
文档 ID:215226

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

目录

简介
步骤:

简介

作为系统管理员,您可能希望使用进程监控器(procmon.exe)获取详细日志,以确定FireAMP连接器在计算机启动过程中是否出现挂起。思科TAC也会请求这些日志来排除此类问题。进程监控器是一个免费的实用程序,可帮助我们进行此操作。可以从https://docs.microsoft.com/en-us/sysinternals/downloads/procmon免费下

本文档介绍在系统引导过程中出现问题时如何收集ProcMon日志和内存转储(这意味着它在引导时生成BSOD)的步骤。 需要这些日志来捕获引导期间发生的系统事件。

步骤:

1.以这种方式设置测试机,使问题易于重现。

2.以管理员身份下载并运行ProcMon工具。转至“文件” — >“进程监控器备份文件”并选择路径。 

3.在Procmon工具中,转到“选项” — >“启用引导日志记录”。 

4.选择“生成威胁分析事件并每秒”。

5.确保在Procmon中选择所有相关过滤器并收集数据。

6.如果无法复制崩溃,则可以使用NotMyFault64.exe实用程序强制Windows崩溃,您可以从该实用程序获取 https://live.sysinternals.com/files/

有关如何运行这些命令的说明如下: https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump

7.撞机。

8.将计算机引导到安全模式并手动收集Procmon.pmb和MEMORY.DMP,两个文件都在C:\Windows folder中。这些文件将与思科TAC共享。

7.或者,如果PMB文件在C:\Windows folder文件中生成,则如果能够将其引导到“正常模式”,则如果再次启动ProcMon,将看到以下日志。从而,您可以通过点击Save按钮重新保存事件。

TAC Authored

由思科工程师提供

  • Sorin Antohe
    Cisco Advanced Threats BU

此文档是否有帮助?

Feedback反馈

联系我们

本文档适用于以下产品