![1. 問題解決における基礎知識
2. 問題解決を支援するツール群
[ OS 標準ツール編 ]
[ Sysinternals 編 ]
3. Dumpって?
4. まとめ](https://image.slidesharecdn.com/inf-028-171225072739/85/INF-028_-Sysinternals-OS-2-320.jpg)
![ 特定のイベント発生時に、任意のタスクを自動実行させる機能
既存で出力されたイベントログのコンテキストメニューから、簡単に作成可能
作成したタスクは、タスクスケジューラの [イベント ビューアー タスク] として登録される](https://image.slidesharecdn.com/inf-028-171225072739/85/INF-028_-Sysinternals-OS-26-320.jpg)
![ 特に利用頻度の高いタブは、[プロセス] と [パフォーマンス] の2つ
[パフォーマンス]タブ
• リソース使用状況 (合計値) をグラフ出力
[プロセス] タブ
• 稼働中のアプリケーションやプロセスの一覧、
およびそれぞれのリソース使用状況を可視化
• “PID”, “コマンド ライン” などの列を追加可能](https://image.slidesharecdn.com/inf-028-171225072739/85/INF-028_-Sysinternals-OS-29-320.jpg)
![ 応答しなくなったアプリケーションなどを
強制終了
(正常なシャットダウンの機会を与えない
ため、データの損失などを招く可能性があ
ります)
[ファイル名を指定して実行] ( + [R])
と近い機能
管理者権限を付与して、
タスクを起動させることが可能
プロセスごとに実行可能なプロセッサを
指定可能](https://image.slidesharecdn.com/inf-028-171225072739/85/INF-028_-Sysinternals-OS-30-320.jpg)
![ ハンドルビューの表示 : [Ctrl] + [H]
DLL ビューの表示 : [Ctrl] + [D]
プロセス単位での詳細情報表示 (Image, Performance, GPU Graph, Threads など)
DLL ビューハンドルビュープロセスの詳細情報](https://image.slidesharecdn.com/inf-028-171225072739/85/INF-028_-Sysinternals-OS-44-320.jpg)
![ デフォルトでは、1秒間に1回更新される (0.5秒~10秒の間で変更可能)
[スペース] キーを押すことで、更新の一時停止が可能
表示の更新を行う [F5] キー との組み合わせで、
一時停止後に作成または削除されたオブジェクトの参照が容易に
[Options] – [Replace Task Manager] を選択
taskmgr.exe を起動しようとすると、自動的に Process Explorer が起動
正確かつ小数点での表示 (タスク マネージャーは近似値かつ整数での表示)
1% 未満の CPU を消費するプロセス (スレッド) と、完全に非アクティブなプロセスを区別可能](https://image.slidesharecdn.com/inf-028-171225072739/85/INF-028_-Sysinternals-OS-45-320.jpg)
![ [Find Windows Process] ボタン を任意のウィンドウにドラッグすることで、
指定したウィンドウを所有するプロセスが選択される
突然のエラーダイアログ出現時などの原因特定が容易に
“強制終了 (Kill)” などに加えて、
” 一時停止 (Suspend)” や “再起動 (Restart)” も可能
特に Suspend は、Buddy System 型のマルウェアの疑いが
ある場合に有効な手段となる
https://blogs.technet.microsoft.com/markrussinovich
/2011/03/13/the-case-of-the-unusable-system/](https://image.slidesharecdn.com/inf-028-171225072739/85/INF-028_-Sysinternals-OS-46-320.jpg)
![ショートカットの活用で、調査の効率性を最大化!
機能 ショートカット
キャプチャーの開始または終了 [Ctrl] + [E]
キャプチャーのクリア [Ctrl] + [X]
検索 [Ctrl] + [F]
次を検索 [F3]
一つ前を検索 [Shift] + [F3]
フィルター開始 [Ctrl] + [L]
フィルターのリセット [Ctrl] + [R]
レジストリやファイルのパスを開く [Ctrl] + [J]](https://image.slidesharecdn.com/inf-028-171225072739/85/INF-028_-Sysinternals-OS-52-320.jpg)
INF-028_そのエラーやお困りごと、ツールを使えば解決できるかも! ~Sysinternals や OS 標準ツールの徹底活用術~
- 1. ROOM I
- 2. 1. 問題解決における基礎知識 2. 問題解決を支援するツール群 [ OS 標準ツール編 ] [ Sysinternals 編 ] 3. Dumpって? 4. まとめ
- 9. 状況の整理 問題発生時の状況、発生手順 変化点 (ソフトウェア / ハードウェア) 外部要因
- 12. ツール 監視ツールから 問題発生のタイミング、変化点 同一構成のサーバーがあれば、比較 その他 ハードウェア障害 設定ミス ウィルス対策ソフト KB822158
- 14. 発生時に情報採取できるように備える 可能な限り、常時ログ採取を検討する 監視ツールを利用する 難しい場合は、OS標準ツールでも 正確な情報収集を心がける 正しくない情報は無意味
- 15. サポートオンラインで、不具合や技術情報を掲載 KB (Knowledge Base) 不具合内容、解決方法を確認できる エラーコード、DLLからの検索も有効 英語情報を推奨 日本語よりも情報が早い サポート オンライン https://support.microsoft.com/ja-jp
- 16. TechNet オンライン IT プロフェッショナルが対応 サーバー、クライアント、セキュリティ等の技術情報を掲載 検索機能 サポートオンライン含め、横断検索も可能 トラブルシューティングとサポート MSDN 開発者が対象 Sample Code、開発の技術情報
- 17. Microsoft Japan Windows Technology Support Network & AD Exchange Blog System Center Support Team Blog Mark’s Blog
- 18. • OS 標準ツール • Windows Sysinternals
- 19. Windows OS 標準ツール Windows Sysinternals
- 20. OS 標準ツール編
- 21. イベント ビューアー タスク マネージャー パフォーマンス モニター ipconfig netsh nslookup nslookup robocopy shutdown regedit msinfo32msconfig gpupdate gpresult openfiles xcopy SnippingTool イベント ビューアー タスク マネージャー パフォーマンス モニター fc sc
- 22. OS やアプリケーションが書き出した “イベントログ” を GUI 上で参照するツール
- 24. Windows ログ 「アプリケーション」「セキュリティ」「システム」 などの OS 基本ログを格納 アプリケーションとサービス ログ アプリケーションやサービスが独自に生成した ログを保管する場所として提供 原則として、”ベンダー名¥アプリケーション名 ¥ログ” の形式で階層化 特定のアプリケーションに関するトラブル 発生時は、こちらも見落とさないこと .evt形式 イベントビューアーでフィルタ可能 イベントを記録したマシン上でしか、 100%の情報読みとることができない 分析ツール等により解析が可能 .csv形式 メモ帳やExcelで手軽にかつ、 100%の情報を読み取ることができる 読み込むツールによっては、改行コードを含 むため、加工が必要になる場合がある 分析ツールが無い
- 25. Windows Vista 以降に搭載された、 他のコンピューターで記録したイベントロ グを転送する機能 複数サーバーのイベントログを、一台に 集約したい場合などに使う 収集する対象は、細かく指定可能 .evtx 形式で格納される %windir%¥sytem32¥Winevt¥Logs¥ 以下のサービスによって実行される Windows リモート管理 (WinRM) Windows イベント コレクター (Wecsvc)
- 26. 特定のイベント発生時に、任意のタスクを自動実行させる機能 既存で出力されたイベントログのコンテキストメニューから、簡単に作成可能 作成したタスクは、タスクスケジューラの [イベント ビューアー タスク] として登録される
- 28. システム (プロセス, パフォーマンス 等) の状態をリアルタイム表示するツール 現在のシステムの状態を確認 アプリケーションの強制終了 新しいタスクの実行 プロセス ダンプの作成
- 29. 特に利用頻度の高いタブは、[プロセス] と [パフォーマンス] の2つ [パフォーマンス]タブ • リソース使用状況 (合計値) をグラフ出力 [プロセス] タブ • 稼働中のアプリケーションやプロセスの一覧、 およびそれぞれのリソース使用状況を可視化 • “PID”, “コマンド ライン” などの列を追加可能
- 30. 応答しなくなったアプリケーションなどを 強制終了 (正常なシャットダウンの機会を与えない ため、データの損失などを招く可能性があ ります) [ファイル名を指定して実行] ( + [R]) と近い機能 管理者権限を付与して、 タスクを起動させることが可能 プロセスごとに実行可能なプロセッサを 指定可能
- 32. パフォーマンス ログの収集および分析を行うための GUI ツール群 パフォーマンスのリアルタイム表示 パフォーマンス ログの収集 パフォーマンス ログおよび レポートの表示
- 33. • トラブル時 トラブル内容に応じて、カウンター追加 採取間隔: 1分から5分 ベースライン策定のため、平時からログを採取する! たとえば… メモリリークの疑いがあっても、 Available Bytes だけでは判断で きない。 Paged Pool , Non Paged Pool な どのカウンターがあることで、 傾向を判断できる。 ☞ 取得するカウンターは、 中途半端に削らない!
- 34. 任意のパフォーマンス カウンターを追加して、 パフォーマンスをリアルタイム表示可能 リモートコンピューターのパフォーマンス カウンターも 参照可能 perfmon /sys /comp オプションをつけて起動 取得済みログやリアルタイム パフォーマンス データを 重ねて表示させることが可能
- 35. パフォーマンス カウンターやイベント トレース データなどの情報をバックグラウンド収集 開始スケジュールや停止条件を柔軟に指定可能 ゼロベースで構成することも、テンプレートを用いて作成・カスタマイズすることも可能 パフォーマンス カウンターに閾値を定義し、閾値に達した場合に任意のタスクを実行 パフォーマンス カウンター閾値の設定停止条件の指定コレクターセットの作成 レポートの表示
- 37. 創業者の Mark Russinovich を中心に開発 (現 CTO of Microsoft Azure) 2006年7月に Microsoft が買収し、 現在も開発を継続 Windows プラットフォームの管理、診断、トラブルシューティングに 役立つ “痒い所に手が届く” 70個以上の無償ツール群
- 40. 1. Process Explorer (procexp.exe) 2. AutoRuns (autoruns.exe) 3. Process Monitor (procmon.exe) 4. PsTools (psexec.exe, psfile.exe, psinfo.exe, pskill.exe 他多数) 5. TcpView (tcpview.exe) 6. BgInfo (bginfo.exe) AutoRuns TcpView BgInfo ☞ ☞
- 42. ツリービューでプロセスの親子関係を階層表示 プロセスの種類に応じた色分け表示 (新しいプロセスや最近終了したプロセスの強調表示 等) 豊富なデータ項目(*次項参照) を選択表示 (Column Set としてビューの保存も可能)
- 44. ハンドルビューの表示 : [Ctrl] + [H] DLL ビューの表示 : [Ctrl] + [D] プロセス単位での詳細情報表示 (Image, Performance, GPU Graph, Threads など) DLL ビューハンドルビュープロセスの詳細情報
- 45. デフォルトでは、1秒間に1回更新される (0.5秒~10秒の間で変更可能) [スペース] キーを押すことで、更新の一時停止が可能 表示の更新を行う [F5] キー との組み合わせで、 一時停止後に作成または削除されたオブジェクトの参照が容易に [Options] – [Replace Task Manager] を選択 taskmgr.exe を起動しようとすると、自動的に Process Explorer が起動 正確かつ小数点での表示 (タスク マネージャーは近似値かつ整数での表示) 1% 未満の CPU を消費するプロセス (スレッド) と、完全に非アクティブなプロセスを区別可能
- 46. [Find Windows Process] ボタン を任意のウィンドウにドラッグすることで、 指定したウィンドウを所有するプロセスが選択される 突然のエラーダイアログ出現時などの原因特定が容易に “強制終了 (Kill)” などに加えて、 ” 一時停止 (Suspend)” や “再起動 (Restart)” も可能 特に Suspend は、Buddy System 型のマルウェアの疑いが ある場合に有効な手段となる https://blogs.technet.microsoft.com/markrussinovich /2011/03/13/the-case-of-the-unusable-system/
- 48. レジストリ ファイル システム ネットワーク プロセス/ スレッド プロファイル Process Monitor 自身によって定期生成される、すべてのプロセスとスレッドにおけるイベント プロセスが開始してから使用されたユーザーモードとカーネルモードのCPU時間、プロセスに割り当てられている Private Bytes の現在値、プロセスに消費されたワーキングセットなどをキャプチャー • プロセスプロファイルイベント : すべてのプロセスについて、1秒ごとに1回生成 • スレッドプロファイルイベント : すべてのスレッドについて、1秒間に1回、または1秒間に10回生成可能 (負荷が高いためデフォルトでは生成しない) プロファイルとは
- 50. (
- 52. ショートカットの活用で、調査の効率性を最大化! 機能 ショートカット キャプチャーの開始または終了 [Ctrl] + [E] キャプチャーのクリア [Ctrl] + [X] 検索 [Ctrl] + [F] 次を検索 [F3] 一つ前を検索 [Shift] + [F3] フィルター開始 [Ctrl] + [L] フィルターのリセット [Ctrl] + [R] レジストリやファイルのパスを開く [Ctrl] + [J]
- 53. マイクロソフトのサポートチームでも、 Process Monitor などの Sysinternals を活用し、 数多くの問題を解決してきています!
- 55. Dump Dump の種類
- 57. Blue Screen Of Death ( BSOD )
- 59. うわ 16進数・・・ 難しそうだなぁ・・・ 見なかったことにしよう! 分からないよ Windows だからねー 意味不明w
- 61. Download the WDK, WinDbg, and associated tools
- 62. ソースレベルでのデバッグが可能 Kernel Kernel Mode Driver System Service User Mode Applicatioin
- 67. !analyze –v コマンドから例外に関する情報を取得 !analyze –v コマンド
- 73. アンケートにご協力ください。 ●アンケートに 上記の Session ID のブレイクアウトセッションに チェックを入れて下さい。 ●アンケートはお帰りの際に、受付でご提出ください。 マイクロソフトスペシャルグッズと引換えさせていただきます。
- 74. ROOM I Ask the Speaker のご案内 ●本セッションの詳細は、EXPO 会場内 『Ask the Speaker』コーナー Room I カウンタにてご説明させて いただきます。是非、お立ち寄りください。