![1. 問題解決における基礎知識
2. 問題解決を支援するツール群
[ OS 標準ツール編 ]
[ Sysinternals 編 ]
3. Dumpって?
4. まとめ](https://image.slidesharecdn.com/20160525decode2016inf-028troubleshooting-180328091714/85/Sysinternals-OS-Microsoft-de-code-2016-2-320.jpg)
![✓ 特定のイベント発生時に、任意のタスクを自動実行させる機能
✓ 既存で出力されたイベントログのコンテキストメニューから、簡単に作成可能
✓ 作成したタスクは、タスクスケジューラの [イベント ビューアー タスク] として登録される](https://image.slidesharecdn.com/20160525decode2016inf-028troubleshooting-180328091714/85/Sysinternals-OS-Microsoft-de-code-2016-26-320.jpg)
![✓ 特に利用頻度の高いタブは、[プロセス] と [パフォーマンス] の2つ
[パフォーマンス]タブ
• リソース使用状況 (合計値) をグラフ出力
[プロセス] タブ
• 稼働中のアプリケーションやプロセスの一覧、
およびそれぞれのリソース使用状況を可視化
• “PID”, “コマンド ライン” などの列を追加可能](https://image.slidesharecdn.com/20160525decode2016inf-028troubleshooting-180328091714/85/Sysinternals-OS-Microsoft-de-code-2016-29-320.jpg)
![✓ 応答しなくなったアプリケーションなどを
強制終了
(正常なシャットダウンの機会を与えない
ため、データの損失などを招く可能性があ
ります)
✓ [ファイル名を指定して実行] ( + [R])
と近い機能
✓ 管理者権限を付与して、
タスクを起動させることが可能
✓ プロセスごとに実行可能なプロセッサを
指定可能](https://image.slidesharecdn.com/20160525decode2016inf-028troubleshooting-180328091714/85/Sysinternals-OS-Microsoft-de-code-2016-30-320.jpg)
![➢ ハンドルビューの表示 : [Ctrl] + [H]
➢ DLL ビューの表示 : [Ctrl] + [D]
✓ プロセス単位での詳細情報表示 (Image, Performance, GPU Graph, Threads など)
DLL ビューハンドルビュープロセスの詳細情報](https://image.slidesharecdn.com/20160525decode2016inf-028troubleshooting-180328091714/85/Sysinternals-OS-Microsoft-de-code-2016-44-320.jpg)
![✓ デフォルトでは、1秒間に1回更新される (0.5秒~10秒の間で変更可能)
✓ [スペース] キーを押すことで、更新の一時停止が可能
✓ 表示の更新を行う [F5] キー との組み合わせで、
一時停止後に作成または削除されたオブジェクトの参照が容易に
✓ [Options] – [Replace Task Manager] を選択
✓ taskmgr.exe を起動しようとすると、自動的に Process Explorer が起動
✓ 正確かつ小数点での表示 (タスク マネージャーは近似値かつ整数での表示)
✓ 1% 未満の CPU を消費するプロセス (スレッド) と、完全に非アクティブなプロセスを区別可能](https://image.slidesharecdn.com/20160525decode2016inf-028troubleshooting-180328091714/85/Sysinternals-OS-Microsoft-de-code-2016-45-320.jpg)
![✓ [Find Windows Process] ボタン を任意のウィンドウにドラッグすることで、
指定したウィンドウを所有するプロセスが選択される
✓ 突然のエラーダイアログ出現時などの原因特定が容易に
✓ “強制終了 (Kill)” などに加えて、
” 一時停止 (Suspend)” や “再起動 (Restart)” も可能
✓ 特に Suspend は、Buddy System 型のマルウェアの疑いが
ある場合に有効な手段となる
https://blogs.technet.microsoft.com/markrussinovich
/2011/03/13/the-case-of-the-unusable-system/](https://image.slidesharecdn.com/20160525decode2016inf-028troubleshooting-180328091714/85/Sysinternals-OS-Microsoft-de-code-2016-46-320.jpg)
![ショートカットの活用で、調査の効率性を最大化!
機能 ショートカット
キャプチャーの開始または終了 [Ctrl] + [E]
キャプチャーのクリア [Ctrl] + [X]
検索 [Ctrl] + [F]
次を検索 [F3]
一つ前を検索 [Shift] + [F3]
フィルター開始 [Ctrl] + [L]
フィルターのリセット [Ctrl] + [R]
レジストリやファイルのパスを開く [Ctrl] + [J]](https://image.slidesharecdn.com/20160525decode2016inf-028troubleshooting-180328091714/85/Sysinternals-OS-Microsoft-de-code-2016-52-320.jpg)
そのエラーやお困りごと、ツールを使えば解決できるかも! ~ Sysinternals や OS 標準ツールの徹底活用術 ~ (Microsoft de:code 2016)
- 1. ROOM I
- 2. 1. 問題解決における基礎知識 2. 問題解決を支援するツール群 [ OS 標準ツール編 ] [ Sysinternals 編 ] 3. Dumpって? 4. まとめ
- 9. 状況の整理 問題発生時の状況、発生手順 変化点 (ソフトウェア / ハードウェア) 外部要因
- 12. ツール ✓ 監視ツールから ✓ 問題発生のタイミング、変化点 ✓ 同一構成のサーバーがあれば、比較 その他 ✓ ハードウェア障害 ✓ 設定ミス ✓ ウィルス対策ソフト ➢ KB822158
- 14. 発生時に情報採取できるように備える 可能な限り、常時ログ採取を検討する ✓ 監視ツールを利用する ✓ 難しい場合は、OS標準ツールでも 正確な情報収集を心がける ✓ 正しくない情報は無意味
- 15. サポートオンラインで、不具合や技術情報を掲載 ✓ KB (Knowledge Base) ➢ 不具合内容、解決方法を確認できる ➢ エラーコード、DLLからの検索も有効 英語情報を推奨 ✓ 日本語よりも情報が早い サポート オンライン https://support.microsoft.com/ja-jp
- 16. TechNet オンライン ✓ IT プロフェッショナルが対応 ✓ サーバー、クライアント、セキュリティ等の技術情報を掲載 ✓ 検索機能 ➢ サポートオンライン含め、横断検索も可能 ➢ トラブルシューティングとサポート MSDN ✓ 開発者が対象 ✓ Sample Code、開発の技術情報
- 17. Microsoft Japan Windows Technology Support Network & AD Exchange Blog System Center Support Team Blog Mark’s Blog
- 18. • OS 標準ツール • Windows Sysinternals
- 19. Windows OS 標準ツール Windows Sysinternals
- 20. OS 標準ツール編
- 21. イベント ビューアー タスク マネージャー パフォーマンス モニター ipconfig netsh nslookup nslookup robocopy shutdown regedit msinfo32msconfig gpupdate gpresult openfiles xcopy SnippingTool イベント ビューアー タスク マネージャー パフォーマンス モニター fc sc
- 22. OS やアプリケーションが書き出した “イベントログ” を GUI 上で参照するツール
- 24. ✓ Windows ログ ➢ 「アプリケーション」「セキュリティ」「システム」 などの OS 基本ログを格納 ✓ アプリケーションとサービス ログ ➢ アプリケーションやサービスが独自に生成した ログを保管する場所として提供 ➢ 原則として、”ベンダー名¥アプリケーション名 ¥ログ” の形式で階層化 ➢ 特定のアプリケーションに関するトラブル 発生時は、こちらも見落とさないこと ✓ .evt形式 ➢ イベントビューアーでフィルタ可能 ➢ イベントを記録したマシン上でしか、 100%の情報読みとることができない ➢ 分析ツール等により解析が可能 ✓ .csv形式 ➢ メモ帳やExcelで手軽にかつ、 100%の情報を読み取ることができる ➢ 読み込むツールによっては、改行コードを含 むため、加工が必要になる場合がある ➢ 分析ツールが無い
- 25. ✓ Windows Vista 以降に搭載された、 他のコンピューターで記録したイベントロ グを転送する機能 ✓ 複数サーバーのイベントログを、一台に 集約したい場合などに使う ✓ 収集する対象は、細かく指定可能 ✓ .evtx 形式で格納される ➢ %windir%¥sytem32¥Winevt¥Logs¥ ✓ 以下のサービスによって実行される ➢ Windows リモート管理 (WinRM) ➢ Windows イベント コレクター (Wecsvc)
- 26. ✓ 特定のイベント発生時に、任意のタスクを自動実行させる機能 ✓ 既存で出力されたイベントログのコンテキストメニューから、簡単に作成可能 ✓ 作成したタスクは、タスクスケジューラの [イベント ビューアー タスク] として登録される
- 28. システム (プロセス, パフォーマンス 等) の状態をリアルタイム表示するツール ✓ 現在のシステムの状態を確認 ✓ アプリケーションの強制終了 ✓ 新しいタスクの実行 ✓ プロセス ダンプの作成
- 29. ✓ 特に利用頻度の高いタブは、[プロセス] と [パフォーマンス] の2つ [パフォーマンス]タブ • リソース使用状況 (合計値) をグラフ出力 [プロセス] タブ • 稼働中のアプリケーションやプロセスの一覧、 およびそれぞれのリソース使用状況を可視化 • “PID”, “コマンド ライン” などの列を追加可能
- 30. ✓ 応答しなくなったアプリケーションなどを 強制終了 (正常なシャットダウンの機会を与えない ため、データの損失などを招く可能性があ ります) ✓ [ファイル名を指定して実行] ( + [R]) と近い機能 ✓ 管理者権限を付与して、 タスクを起動させることが可能 ✓ プロセスごとに実行可能なプロセッサを 指定可能
- 32. パフォーマンス ログの収集および分析を行うための GUI ツール群 ✓ パフォーマンスのリアルタイム表示 ✓ パフォーマンス ログの収集 ✓ パフォーマンス ログおよび レポートの表示
- 33. • トラブル時 ✓ トラブル内容に応じて、カウンター追加 ✓ 採取間隔: 1分から5分 ベースライン策定のため、平時からログを採取する! たとえば… メモリリークの疑いがあっても、 Available Bytes だけでは判断で きない。 Paged Pool , Non Paged Pool な どのカウンターがあることで、 傾向を判断できる。 ☞ 取得するカウンターは、 中途半端に削らない!
- 34. ✓ 任意のパフォーマンス カウンターを追加して、 パフォーマンスをリアルタイム表示可能 ✓ リモートコンピューターのパフォーマンス カウンターも 参照可能 ✓ perfmon /sys /comp オプションをつけて起動 ✓ 取得済みログやリアルタイム パフォーマンス データを 重ねて表示させることが可能
- 35. ✓ パフォーマンス カウンターやイベント トレース データなどの情報をバックグラウンド収集 ✓ 開始スケジュールや停止条件を柔軟に指定可能 ✓ ゼロベースで構成することも、テンプレートを用いて作成・カスタマイズすることも可能 ✓ パフォーマンス カウンターに閾値を定義し、閾値に達した場合に任意のタスクを実行 パフォーマンス カウンター閾値の設定停止条件の指定コレクターセットの作成 レポートの表示
- 37. ✓ 創業者の Mark Russinovich を中心に開発 (現 CTO of Microsoft Azure) ✓ 2006年7月に Microsoft が買収し、 現在も開発を継続 Windows プラットフォームの管理、診断、トラブルシューティングに 役立つ “痒い所に手が届く” 70個以上の無償ツール群
- 40. 1. Process Explorer (procexp.exe) 2. AutoRuns (autoruns.exe) 3. Process Monitor (procmon.exe) 4. PsTools (psexec.exe, psfile.exe, psinfo.exe, pskill.exe 他多数) 5. TcpView (tcpview.exe) 6. BgInfo (bginfo.exe) AutoRuns TcpView BgInfo ☞ ☞
- 42. ✓ ツリービューでプロセスの親子関係を階層表示 ✓ プロセスの種類に応じた色分け表示 (新しいプロセスや最近終了したプロセスの強調表示 等) ✓ 豊富なデータ項目(*次項参照) を選択表示 (Column Set としてビューの保存も可能)
- 44. ➢ ハンドルビューの表示 : [Ctrl] + [H] ➢ DLL ビューの表示 : [Ctrl] + [D] ✓ プロセス単位での詳細情報表示 (Image, Performance, GPU Graph, Threads など) DLL ビューハンドルビュープロセスの詳細情報
- 45. ✓ デフォルトでは、1秒間に1回更新される (0.5秒~10秒の間で変更可能) ✓ [スペース] キーを押すことで、更新の一時停止が可能 ✓ 表示の更新を行う [F5] キー との組み合わせで、 一時停止後に作成または削除されたオブジェクトの参照が容易に ✓ [Options] – [Replace Task Manager] を選択 ✓ taskmgr.exe を起動しようとすると、自動的に Process Explorer が起動 ✓ 正確かつ小数点での表示 (タスク マネージャーは近似値かつ整数での表示) ✓ 1% 未満の CPU を消費するプロセス (スレッド) と、完全に非アクティブなプロセスを区別可能
- 46. ✓ [Find Windows Process] ボタン を任意のウィンドウにドラッグすることで、 指定したウィンドウを所有するプロセスが選択される ✓ 突然のエラーダイアログ出現時などの原因特定が容易に ✓ “強制終了 (Kill)” などに加えて、 ” 一時停止 (Suspend)” や “再起動 (Restart)” も可能 ✓ 特に Suspend は、Buddy System 型のマルウェアの疑いが ある場合に有効な手段となる https://blogs.technet.microsoft.com/markrussinovich /2011/03/13/the-case-of-the-unusable-system/
- 48. レジストリ ファイル システム ネットワーク プロセス/ スレッド プロファイル ➢ Process Monitor 自身によって定期生成される、すべてのプロセスとスレッドにおけるイベント ➢ プロセスが開始してから使用されたユーザーモードとカーネルモードのCPU時間、プロセスに割り当てられている Private Bytes の現在値、プロセスに消費されたワーキングセットなどをキャプチャー • プロセスプロファイルイベント : すべてのプロセスについて、1秒ごとに1回生成 • スレッドプロファイルイベント : すべてのスレッドについて、1秒間に1回、または1秒間に10回生成可能 (負荷が高いためデフォルトでは生成しない) プロファイルとは
- 50. (
- 52. ショートカットの活用で、調査の効率性を最大化! 機能 ショートカット キャプチャーの開始または終了 [Ctrl] + [E] キャプチャーのクリア [Ctrl] + [X] 検索 [Ctrl] + [F] 次を検索 [F3] 一つ前を検索 [Shift] + [F3] フィルター開始 [Ctrl] + [L] フィルターのリセット [Ctrl] + [R] レジストリやファイルのパスを開く [Ctrl] + [J]
- 53. マイクロソフトのサポートチームでも、 Process Monitor などの Sysinternals を活用し、 数多くの問題を解決してきています!
- 55. Dump Dump の種類
- 57. Blue Screen Of Death ( BSOD )
- 59. うわ 16進数・・・ 難しそうだなぁ・・・ 見なかったことにしよう! 分からないよ Windows だからねー 意味不明w
- 61. Download the WDK, WinDbg, and associated tools
- 62. ソースレベルでのデバッグが可能 Kernel Kernel Mode Driver System Service User Mode Applicatioin
- 67. !analyze –v コマンドから例外に関する情報を取得 !analyze –v コマンド