Broncontrole gebruiken om Windows te onderzoeken

Als een oude pc het niet meer trekt, merk je dat door een flink ratelende harde schijf of druk blazende ventilator. Bij moderne systemen met hun stille ssd’s en koeling, moet je wat dieper graven om te achter­halen wat er precies aan schort. De tool Broncontrole is daarbij handig om te onderzoeken waar Windows mee bezig is.

Als je pc heel erg druk is, maar je hem nergens opdracht voor hebt gegeven, is dat behoorlijk irritant. Een harde schijf die continu luid loopt te ratelen laat je pc traag aanvoelen. Een cpu die maximaal wordt belast laat de cpu-koeling harder werken, of misschien is je internetverbinding niet vooruit te branden: allemaal behoorlijk irritant.

Het eerste wat in je opkomt is Taakbeheer openen via een rechtermuisklik op de taakbalk of met het klassieke Ctrl-Alt-Delete. Darmee krijg je een eerste kijk op welke processen op dat moment je cpu, geheugen, schijf en netwerkverbinding belasten. Een klik op de kolommen sorteert de resultaten.

Erg veel detail bevatten de weergaves van Taakbeheer echter niet. Daar komt Broncontrole om de hoek kijken. Je roept dat op via het zoeken op ‘bron’ of door het intypen van ‘resmon’ op de Opdrachtprompt. Het zit ook nog verstopt op het tabblad Prestaties in Taakbeheer, via de link ‘Broncontrole openen’ onderaan. Mocht je het vaker willen gebruiken en dus snel willen starten, dan is het handig de tool vast te maken aan de taakbalk. Dat doe je via een rechtermuisklik op het geopende programma op de taakbalk.

Zodra Broncontrole gestart is, toont de resourcemonitor een overzichtspagina voor alle vier de categorieën resources: de processor, schijf, netwerk en geheugen. Binnen elke categorie kun je sorteren door op de kolommen te klikken. Een handigheidje is een simpel in te stellen filter. Met een vinkje voor een proces wordt in de overzichten alleen de informatie van dat proces getoond. Het gaat dan alleen om die ene instantie van het proces. Door middel van een rechtermuisklik op een proces beëindig je het, eventueel inclusief alle subprocessen die door het proces zijn gestart (‘Processtructuur beëindigen’). De optie ‘Proces analyseren’ laat zien of er wordt gewacht op een ander proces om een resource vrij te geven.

De rechterkant van Broncontrole toont grafieken met het verloop van het verbruik aan resources van de afgelopen minuut. Qua inter­pretatie moet je wel goed blijven opletten, want een aantal tonen procentuele waarden, bijvoorbeeld die met de belasting van het geheugen, processor of netwerkinterfaces. Andere laten dan weer (absolute) meetwaarden zien en passen hun schaal ook nog dynamisch aan, bijvoorbeeld harde geheugenfouten per seconde, cpu-kloksnelheid en netwerk-transfersnelheden. Bij het laatste voorbeeld kan de schaal op de Y-as bijvoorbeeld van 0 tot 10 Kbit/s lopen, maar ook van 0 tot 100 Mbit/s.

Een aantal grafieken toont naast de groene lijn nog een tweede blauwe lijn. De legenda staat gek genoeg niet netjes onder de grafiek, maar in de titel van de betreffende categorie links in het Broncontrole-venster. Zo laat de grafiek over de processor met de groene lijn het verloop van de belasting zien, en met de blauwe hoe dicht de processor zijn maximale kloksnelheid nadert.

De naar eigen smaak ingestelde weergave van Broncontrole is als een configuratiebestand op te slaan. Daarbij worden de kolombreedtes, sorteervolgorde en grootte van de grafieken opgeslagen. Als alles helemaal naar je wensen is ingesteld, kies je in het Bestand-menu voor ‘Instellingen opslaan als’. Met zo’n configuratiebestand eindigend op .ResmonCfg start je Broncontrole op met door jou aangepaste instellingen. De instellingen zijn ook via het context­menu op de taakbalk beschikbaar. Als je Broncontrole aan de taakbalk hebt vast­gemaakt, verschijnt de laatst gebruikte configuratie in het contextmenu.

Bij het onderdeel Processor toont Broncontrole alleen draaiende processen inclusief hun ID (PID). Met dat PID is elk proces afzonderlijk te identificeren. Dat is vooral handig als er meer dan één instantie van een uitvoerbaar bestand draait. Sorteer je op de kolom CPU, dan zie je bovenaan welk proces het meeste tijd van de cpu afsnoept. Broncontrole vermeldt voor elk proces het aantal geopende threads, maar dat zegt niet direct iets over de daad­werkelijke cpu-belasting. Die zie je via de grafieken aan de rechterkant, daarbij worden alle services en afzonderlijke logische cpu-kernen samengevat.

Voor services biedt de Processor-tab een aparte lijst. Dat is erg nuttig omdat veel services in Windows geen uitvoerbaar bestand hebben, maar via svchost.exe worden uitgevoerd. Dit is het hostproces voor Windows-services. Sinds Windows 10 versie 1703 krijgt bijna elke service een eigen instantie van svchost.exe, als er tenminste minimaal 3,5 GB geheugen in de pc zit. Dat verbruikt wel wat meer geheugen (onder normale omstandigheden ongeveer 100 MB) maar op deze manier krijg je meestal al via Taakbeheer de veroorzaker van vreemd gedrag boven water. Een handige bij­komstigheid is dat een hangende service niet alle andere services meetrekt die onder dezelfde svchost-instantie draaien.

Sinds Windows 10 versie 1703 krijgt bijna elke service een eigen instantie van svchost.exe, vandaar dat in tools als Taakbeheer en Broncontrole een ellenlange waslijst met deze naam opduikt.

Zodra je op het processortabblad een proces markeert door het aan te vinken, zie je de gekoppelde ingangen en modules verschijnen. Deze informatie is meestal alleen maar interessant voor ontwikkelaars en zit ingewikkeld in elkaar. Bij ingangen gaat het om abstracte verwijzingen naar systeemresources (in de breedste zin van het woord) die door een proces worden gebruikt, bijvoorbeeld geheugenranges, bestanden of desktopelementen. Modules zijn over het algemeen dynamische library’s (Dynamic Link Libraries, dll).

In veel situaties is de ingangenweergave ook bij ‘standaard’ probleemgevallen nuttig. Stel dat je een usb-stick wilt loskoppelen en dat mislukt omdat het apparaat nog wordt gebruikt, maar je hebt geen idee door wat. Als je de schijfletter met dubbele punt erachter invoert in het zoekveld van ‘ingangen zoeken’, zie je welke processen nog ingangen gebruiken voor de stick.

Het tabblad geheugen heeft vier kolommen gevuld met geheugenverbruik en eentje met harde fouten. Het is handig om te sorteren op Werkset: hoeveel fysiek geheugen een proces op dat moment gebruikt. Daarnaast staan de kolommen Deelbaar en Eigen. Die laatste geeft de hoeveelheid geheugen aan die een proces echt voor zichzelf nodig heeft om te kunnen draaien. Als je beide waarden optelt kom je bij de waarden van Werkset uit.

Het geheugen onder Toegewezen (Commit) slaat niet op het fysieke geheugen, maar op een deel van Windows’ virtuele geheugen. Die waarde geeft aan hoeveel geheugen het besturingssysteem bij het starten van het proces daarvoor heeft gereserveerd. Dat hoeft niet per se in het geheugen zelf te zijn, maar kan ook gaan om ruimte in het wisselbestand op de schijf. Hoeveel van het maximaal beschikbare geheugen Windows voor processen heeft gereserveerd, vind je niet terug in Broncontrole. Dit is te zien in Taakbeheer, op het tabblad ‘Prestaties / Geheugen’ onder Toegewezen.

De naam van de kolom ‘Harde fouten/sec’ leidt tot wat verwarring. Het gaat niet om hardwarefouten van het geheugen, maar hoe vaak per seconde een proces inhoud in het geheugen raadpleegt die er niet is maar nog vanaf schijf geladen moet worden. Vooral bij het opstarten van grote programma’s verschijnen er honderden tot duizenden harde fouten. Gelukkig geen reden tot paniek. Als Broncontrole bij het wisselen tussen programma’s echter elke keer weer harde fouten laat zien, wordt het tijd om je werkgeheugen te upgraden.

‘Harde fouten’ klinkt als iets om je zorgen over te maken, maar het heeft een onschuldige oorzaak.

Het staafdiagram onderin beeld toont in een oogopslag of je geheugen volloopt. Het donkerblauw gemarkeerde Stand-by kun je net zo goed beschouwen als beschikbaar geheugen als het lichtblauwe Beschikbaar. Het beschikbare deel bevat uit het oogpunt van het besturingssysteem geen gebruikte data. Het stand-bydeel bevat content die nog niet door processen wordt gebruikt, maar die na het afsluiten van een programma voor eventueel her­gebruik nog in het geheugen wordt gehouden of min of meer vooraf geladen wordt. Stand-by-inhoud heeft geen toegewezen proces, dus kan op elk moment door het systeem leeg worden gekieperd als ineens een grote hoeveelheid geheugen nodig is en het beschikbare deel te weinig is.

Het groene deel ‘In gebruik’ heeft geen uitleg nodig. Het oranje ‘Gewijzigd’ gaat om data die niet meer nodig zijn maar die nog naar de schijf geschreven moeten worden. Op veel systemen is er ook een klein deel ‘Gereserveerd voor hardware’ te vinden. Dit is meestal een zeer klein deel waar alleen drivers voor apparaten en firmware een plekje krijgen.

Het tabblad Schijf toont via ‘Processen met schijfactiviteit’ een overzicht van alle lees- en schrijfacties op de lokale schijven. Dat is vooral handig als een schijf om onbekende reden druk in de weer is en continu aan het ratelen is. Handig is dan om te sorteren op de totale activiteit via ‘Totaal (bytes/sec.)’. Er is vaak een duidelijke reden waarom processen bovenaan komen te staan. Als bijvoorbeeld wuauclt.exe druk in de weer is, dan is Windows Update op dat moment net bezig met het downloaden van patches. TrustedInstaller.exe of tiworker.exe installeert patches of houdt zich bezig met de opruimacties daarna. Vaak zie je ook MsMpEng.exe verschijnen, dat is dan ­Microsofts virusscanner Windows Defender.

Het tweede blok toont extra details. De ‘Schijfactiviteit ‘laat zien welk proces zich met welk bestand bemoeit. Als een externe schijf om onbekende reden continu aan het ratelen is, kun je sorteren op de kolom ‘Bestand’ en op zoek gaan naar de bijpassende schijfletter. Op die manier achterhaal je snel welk proces verantwoordelijk is voor het geratel en welke bestanden erbij betrokken zijn. In het derde blok Opslag staat dan welke logische schijven onder welke fysieke schijven vallen. Netwerk­schijven horen daar niet bij.

De ‘Processen met netwerkactiviteit’ geven aan wat met welke snelheid via de netwerkinterfaces gaat. Het gaat niet alleen over alles richting internet, maar ook binnen het lokale netwerk. Erg handig om te bepalen welk proces er bandbreedte afsnoept van je internetverbinding.

Maar Broncontrole laat nog wat meer zien. Met een vinkje voor een proces zie je via welke poorten het proces communiceert met welke url’s of IP-adressen en hoe het zit met de latentie. Vaak kom je loopback-verbindingen tegen. Die worden getriggerd doordat losse lokale processen via een IP-protocol met elkaar babbelen.

Maar ook Broncontrole kan niet tot op het kleinste detail traceren wat er op je systeem gebeurt. Loggen kan de tool niet, dus het is vooral handig om live te kijken wat er speelt. Als je erg diep het systeem in wilt duiken om te zien waar Windows allemaal mee bezig is, dan is Process Monitor een aanrader. Die zit in de toolscollectie van Microsoft Sysinternals. De bediening is wel even wennen, daarom wijden we er in het magazine vaker artikelen aan.

Vermoed je een virusbesmetting, dan is Broncontrole niet de eerste keus uit je gereedschapskist. Via een rechtermuisklik op een proces en de optie ‘Online zoeken’ kun je de naam van een verdacht proces doorsluizen naar zoekmachine Bing, maar erg veel opleveren doet dat niet. Voor een snelle controle of je virussen hebt opgelopen is Sysinternals’ Process Explorer een betere keus. Daarmee kun je draaiende processen door lichten via Googles virusscanner-portal VirusTotal.

(Jan Schüßler, c’t magazine)