Инструмент для записи дискового ввода-вывода конкретного процесса в файл

1. Включить полный аварийный дамп. Нажмите Win+Pause, перейдите в "Дополнительные параметры системы" → вкладка "Дополнительно" и в разделе "Запуск и восстановление" нажмите "Настройки".

2. Убедитесь, что ваш файл подкачки достаточно большой, чтобы вместить полный дамп, то есть, по крайней мере, размер оперативной памяти + 256 МБ.

   • перейдите в "Дополнительные настройки системы" → вкладка "Дополнительно"

   • в разделе "Производительность" нажмите "Настройки" и перейдите на вкладку "Дополнительно".

   • нажмите "Изменить.." и выберите "Нестандартный размер"

   • не забудьте нажать Set до OK, просто OK не будет работать

   Если после этого на системном диске остается меньше (25 ГБ + объем ОЗУ), выполните следующие действия:

   • открыть Regedit

   • перейдите к HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\CrashControl

   • создать ключ DWORD AlwaysKeepMemoryDump со значением 1

   • перезагружать

3. Запустить трассировку Xperf (xperf –on DiagEasy из консоли администратора), которая фиксирует активность жесткого диска.

4. Запустите MSE (или Защитник Windows) и дождитесь сбоя.

5. Перезагрузитесь в Windows и откройте файл Memory.dmp с помощью WinDbg. Внутри Windbg выполните следующую команду, чтобы увидеть все активные журналы ETW:

   !wmitrace.strdump
   

6. Посмотрите, какой номер "NT Kernel Logger". Теперь выполните следующую команду, чтобы экспортировать данные в файл ETL:

   !wmitrace.logsave 0xNUMBER c:\DISK.etl
   

7. Откройте файл ETL в xperfview/WPA и посмотрите на график дискового ввода-вывода, к каким файлам обращались.

Process Monitor может записывать в файл журнала на диске, см. Файл → Резервные файлы.