メインコンテンツへスキップ
Waters Employee Login
Waters Japan

プロセスモニターログ (PML) の分析方法 - WKB124616

  1. 最後の更新
  2. PDFとして保存
Article number: 124616To English version

目的または目標

プロセスモニターのトレースログファイルを分析するためのさまざまな方法を紹介する。

環境

  • NuGenesis 9
  • NuGenesis 8
  • Empower
  • MassLynx
  • UNIFI

手順

  1. まず、問題の対象プロセスにログファイルをフィルタリングします。Waters ソフトウェアコンポーネントに関連するプロセス名については、以下の記事を参照してください。
  2. Control-End 法:
    • 問題が再現可能であり、再現された直後に procmon トレースが停止した場合は、control と End を押して、ログファイルの最後の表示可能なイベントに移動します。正常または異常なプログラムの終了など、多くの場合、[プロセス終了]イベントがあります。そのイベントの前に、一連の「スレッド終了」イベント、および/またはプロセスが DLL ファイルを照会するイベントがあります。これらのイベントは、Windows によるプログラムの正常なクリーンアップの証拠であり、無視できます。これらのイベントの直前のイベントが、問題の疑いがある可能性が最も高いです。これは、ネットワークへのファイル、レジストリーキーへのアクセス、またはデータの送受信の試みである可能性が高いです。
  3. 比較法:
    • 可能であれば、問題の procmon トレースと、別のマシンで同じ操作を正常に行う procmon トレースを取得します。マシンで両方のログファイルを開き、両方のファイルで同じフィルターを適用します(Waters 製品のプロセスリストを再度参照)。正常なログファイルおよび問題のあるログファイルを確認します。2 つのログのワークフローは類似しているはずですが、ユーザー名やマシン名などの予想パスには若干の違いがあります。「問題のある」ログが正常なログと異なる点は、問題の原因である可能性があります。
  4. 出現回数のカウント法:
    • 問題のあるログを開き、適切にフィルタリングし、[Tools](ツール)メニュー > [Count Occurrences](発生回数をカウント)をクリックします。リストで[Result](結果)列を選択し、[カウント]をクリックします。procmon により、[Result](結果)列にすべての個別の値と各結果の数が一覧表示されます。「ACCESS DENIED」(アクセスが拒否されました)などの一部のイベントは、常に対象です。テーブルのエントリーをダブルクリックして、procmon でその結果の種類にエントリーをフィルタリングします。これらのエントリーのパス、関連するプロセスとユーザー名、各イベントのスタックトレースは、これらのエントリーが問題に関連しているか、問題の原因に関連しているかを判断するのに役立ちます。
  5. 時間範囲法:
    • 問題は Waters ソフトウェアプロセス自体ではなく、OS またはマルウェア対策プロセスにある場合があります。このような場合、Waters プロセスのみが表示されていれば、問題は明らかではありません。Control と R を押してフィルターをリセットし、何らかの方法で問題が発生する前後のイベントを見つけます。右クリックメニューで[Exclude Events Before](前のイベントを除外)および[Exclude Events After](後のイベントを除外)オプションを使用して、イベントの大部分を除外します。この方法により、他のプロセスからのイベントがトレースに表示されます。一般的な疑いはマルウェア対策ソフトウェアです。多くの場合、Waters プロセスがこれらのオブジェクトにアクセスしようとすると、ファイルまたはレジストリーキーが開かれ/ロックされます。このような干渉は、Waters ソフトウェア製品に問題を引き起こすことがよくあります。

追加情報

ウイルス対策/マルウェア対策プログラムの干渉は、常にそれ自体のプロセスに基づいているとは限りません。このクラスのソフトウェアには通常、プロセス起動時にすべてのプロセスに読み込まれる独自の DLL が登録されており、他のプロセスでそのコードが実行されます。また、Waters ソフトウェアがこれらの機能を呼び出すと、機能呼び出しがマルウェア対策 DLL を介してルーティングされるように、特定の Windows OS 機能を「フック」または「遠回り」させることもあります。どちらの種類の動作も、procmon の各ログ記録イベントに添付されたスタックトレースから観察できます。DLL 名がスタックトレースに表示されることがあります。また、特にアプリのクラッシュイベントに DLL がアンロードされるため、procmon はこれを信頼できず、スタックトレースに「<unknown>」(<不明>)モジュールが表示されることがあります。

id124616, antivirus, EMP2LIC, EMP2OPT, EMP2SW, EMP3GC, EMP3LIC, EMP3OPT, EMP3SW, EMPGC, EMPGPC, EMPLIC, EMPOWER2, EMPOWER3, EMPSW, MLYNX, MLYNXV41, SUP, SUPMM, SUPNG, virus