Ferramenta para registrar a E / S do disco do processo específico no arquivo

1. Ativar um despejo de memória completo. Pressione Win + Pausa , vá em "Configurações avançadas do sistema" → aba Avançado, e em "Inicialização e Recuperação" clique em Configurações.

2. Certifique-se de que seu arquivo de paginação é grande o suficiente para armazenar um despejo completo, ou seja, pelo menos tamanho de RAM + 256 MB.

   • vá para "Configurações avançadas do sistema" → guia Avançado

   • em Desempenho, clique em Configurações e vá para a guia Avançado

   • clique em "Alterar ..." e selecione "Tamanho personalizado"

   • não se esqueça de clicar em Definir antes de OK, apenas OK não funcionará

   Se depois disso você tiver menos de (25 GB + tamanho de RAM) de espaço livre na unidade do sistema, faça o seguinte:

   • abra o Regedit

   • navegue até HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

   • crie uma chave DWORD AlwaysKeepMemoryDump com o valor 1

   • reboot

3. Inicie um rastreio do Xperf ( xperf –on DiagEasy do console de administração) que captura a atividade do HDD.

4. Execute o MSE (ou o Windows Defender) e aguarde a falha.

5. Reinicialize o Windows e abra o arquivo Memory.dmp com o WinDbg. Dentro do Windbg, execute o seguinte comando para ver todos os registros ativos do ETW:

   !wmitrace.strdump
   

6. Veja qual é o número do "NT Kernel Logger". Agora, execute o seguinte comando para exportar os dados para um arquivo ETL:

   !wmitrace.logsave 0xNUMBER c:\DISK.etl
   

7. Abra o arquivo ETL no xperfview / WPA e observe o gráfico de E / S do disco que arquivos foram acessados.

O Process Monitor pode gravar em um arquivo de log no disco, consulte Arquivo → Fazendo backup de arquivos .