Sammeln von ProcMon-Protokollen zur Fehlerbehebung bei AMP-Problemen beim Systemstart

Download-Optionen

  • PDF     (1.1 MB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (1.3 MB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (600.7 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:5. Februar 2020
Dokument-ID:215226

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

Als Systemadministrator können Sie mithilfe von Process Monitor (procmon.exe) detaillierte Protokolle abrufen, um festzustellen, ob der FireAMP-Anschluss beim Systemstart hängen bleibt. Diese Protokolle werden auch vom Cisco TAC angefordert, um solche Probleme zu beheben. Process Monitor ist ein kostenloses Dienstprogramm, das uns hier helfen kann. Diese können Sie kostenlos unter https://docs.microsoft.com/en-us/sysinternals/downloads/procmon herunterladen.

In diesem Dokument werden die Schritte zum Sammeln von ProcMon-Protokollen und Speicherabbildern beschrieben, wenn das Problem während eines Systemstartprozesses auftritt (d. h., es generiert beim Booten BSODs). Diese Protokolle sind erforderlich, um die Systemereignisse zu erfassen, die während des Bootvorgangs auftreten.

Verfahren:

1. Richten Sie die Testgeräte so ein, dass das Problem leicht reproduziert werden kann.

2. Laden Sie das ProcMon-Programm herunter und führen Sie es als Administrator aus. Gehen Sie zu Datei -> Sicherungsdateien verarbeiten und wählen Sie einen Pfad aus

3. Gehen Sie im Procmon Tool zu Options -> Enable Boot Logging

4. Wählen Sie Ereignisse zur Erstellung von Bedrohungsprofilen und jede Sekunde generieren aus.

5. Stellen Sie sicher, dass alle relevanten Filter in Procmon ausgewählt sind und Daten gesammelt werden.

6. Wenn Sie den Absturz nicht replizieren können, können Sie Windows mit dem Dienstprogramm NotMyFault64.exe, das Sie von erhalten können, zum Absturz bringen https://live.sysinternals.com/files/

Die folgenden Anweisungen zur Ausführung finden Sie hier: https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump

7. Zerbrechen Sie den Computer.

8. Starten Sie den Computer im abgesicherten Modus, und sammeln Sie manuell Procmon.pmb und MEMORY.DMP, beide Dateien befinden sich unter C:\Windows folder. Diese Dateien sind für das Cisco TAC freizugeben.

7. Wenn Sie in der Lage sind, es im "normalen Modus" zu starten, wenn die PMB-Dateien im C:\Windows folder generiert werden, dann, wenn Sie ProcMon wieder starten, werden Sie die folgenden Protokolle sehen. Anschließend können Sie die Ereignisse erneut speichern, indem Sie auf die Schaltfläche Speichern klicken.

TAC Authored

Beiträge von Cisco Ingenieuren

  • Sorin Antohe
    Cisco Advanced Threats BU

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.