Вопрос: Системный процесс (PID 4) постоянно обращается к жесткому диску


Недавно я заметил, что некоторые из наших машин становятся вялыми, в основном после загрузки. Используя Resource Monitor Я обнаружил чрезмерный доступ к диску из системного процесса с помощью PID 4. Следуя некоторым советам, я отключил антивирус в папке «Сведения о системном томе», надеясь, что это поможет (я не хочу отключать восстановление системы).

Однако, похоже, что PID 4 имеет доступ все, При запуске простого извлечения ZIP-файла я могу видеть, как WinRAR читает несколько сотен килобайт в секунду из файла, но PID 4 считывает десятки МБ в секунду из того же файла. После отмены операции PID 4 продолжает обращаться к файлу в течение примерно 30 секунд, считывая много МБ в секунду. Это не ошибка монитора ресурсов, так как диск явно активен и останавливается после того, как контролеры ресурсов говорят, что PID 4 наконец-то покоится.

Почему этот чудесный процесс обращается ко всему, к чему обращается каждый другой процесс?

Я использую антивирус AVG. Отключение этого не изменило это поведение /

Что здесь происходит?


49
2017-08-19 07:51


Источник


PID 4 - это идентификатор процесса для процесса Windows SYSTEM. На самом деле это очень похоже на PID 1 на Unix-системах. много услуг, запущенных под PID 4. - sysadmin1138♦
Не запускаются ли службы под их собственными процессами? В любом случае, даже если это так, почему обычные обращения к файлам в обычных процессах без обслуживания в основном выполняются под PID 4? - zmbq
У меня такая же проблема, и я не могу найти решение. Вы случайно используете TrueCrypt? Я использую шифрование по всей системе TrueCrypt, и я подозреваю, что это может быть причиной, поскольку он работает под «Системой» в качестве драйвера, и ему необходимо шифровать / дешифровать каждый доступ к файлу. - Paya
Нет, нет TrueCrypt или любой формы шифрования. - zmbq
Связанный с этим вопрос: superuser.com/questions/349349/... - Paya


Ответы:


Это старый вопрос, но у меня была эта проблема, и для меня это был SuperFetch. Я пробовал все, что мог найти на жестком диске PID 4, и некоторые из них помогли. Обновление RAM с 4 до 8 ГБ сделало проблему более очевидной - использование ОЗУ было низким, без подкачки, но все же жесткий диск был освещен в течение ~ 10 минут после загрузки моего ноутбука.

Короче говоря, есть параметр реестра, который контролирует, какой уровень SuperFetch подходит. Вы можете видеть, что ниже значение EnableSuperfetch теперь установлено в 1, что, по-видимому, является «предварительной выборкой всех исполняемых файлов и библиотек». По умолчанию используется значение 3, что, по-видимому, означает «предварительную выборку всех исполняемых файлов, библиотек и документов». У меня много документов, поэтому я думаю, что это слишком долго. Каждый открытый документ - это еще один, который SuperFetch должен «анализировать», чтобы узнать, как вы его используете.

Ключевой вопрос / значение реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters\EnableSuperfetch

До сих пор единственным недостатком является то, что мои папки Outlook занимают несколько дополнительных секунд, чтобы открыть, а некоторые обычно используемые документы, такие как файлы MS Project, занимают больше времени. Но эти задержки бледнеют по сравнению с треском диска, который я получал раньше!

SuperFetch Registry Key


27
2018-02-21 20:34



Настройки Peefetch описанный здесь - gbjbaanb
работал отлично для меня .. !! - Nirmal- thInk beYond


Многие системные службы (я не имею в виду Windows Services) работают под PID 4, процесс «Система». Каждый раз, когда вы открываете файл, вы запускаете множество фоновых механизмов, таких как менеджер виртуальной памяти, кеширующий файл в памяти, перемещение других вещей в памяти, обслуживание ошибок страницы и т. Д. Эта деятельность отделена от активности диска, взимаемой с процесс, который первоначально обращался к файлу, например WinRAR.

Тем не менее, то, что вы описываете, по-прежнему не похоже на нормальное поведение для меня. Вы должны увидеть быстрый удар по активности диска из системного процесса при доступе к файлу, а затем он должен вернуться к 0 довольно быстро - через пару секунд.

Я провел небольшое тестирование на своей машине с помощью Windows Resource Monitor, и я увидел несколько подобное поведение. То, что я думаю, что мы наблюдаем, - это монитор ресурсов, показывающий нам какую-то скользящую среднюю, которая медленно падает.

Попробуйте посмотреть активность диска PID 4, используя другой инструмент, например Проводник процессов Sysintenals, У меня получилось совсем другое впечатление, так как Дельта Delta и Read Bytes Delta от системного процесса, похоже, вернутся к 0 много быстрее, чем при просмотре через ResMon.


Edit: Если это не так, то я думаю, что для того, чтобы ответить на вопрос, потребуется более углубленный анализ. Например, вы можете перечислить текущие загружаемые драйверы фильтра файловой системы с помощью fltmc.exe, а kernrate.exe может помочь вам изолировать те модули, которые вызывают чрезмерно высокий дисковый ввод-вывод.


12
2017-08-20 19:23



@zmbq: Вам удалось узнать, что происходит? - Paya


Системный процесс используется Центром обновления Windows. Если вы выбрали установку обновлений автоматически, вероятно, ваши системы в настоящее время устанавливают программное обеспечение Windows. Если вы запустите Центр обновления Windows и попробуйте установить обновления, вы получите сообщение о том, что вы не можете установить его, поскольку Windows в настоящее время обновляет систему.

Измените Центр обновления Windows, чтобы не загружать и не устанавливать без ручного действия и ждать завершения текущей установки.


7
2017-10-08 06:20



Это сработало для меня. Моя проблема заключалась в том, что система IE (PID4) использовала 100% диска. Исправлено автоматическое обновление IE (Help-> About IE-> Установка новых версий автоматически). - Coomie
@Coomie, какая версия IE имеет эту функцию? - MDMoore313
@ MDMoore313 IE 10 - Coomie
@Microsoft, почему IE должен обновлять себя из kernel-mode / ring0? - Петър Петров


У меня были такие же симптомы. В моем случае они были связаны с Norton360 и службой VSS MS-SQL. Как только я отключил VSS, моя активность значительно снизилась. Система все еще блокируется, когда Norton делает это, но она полунезначима, поскольку она, похоже, происходит каждый час.


1
2017-11-15 02:18





Проводя этот ответ здесь, когда я наткнулся на этот поток, когда искал ответы на вопрос, почему системный процесс 4 потреблял так много трафика чтения / записи.

Пользователи, имеющие сопоставленные диски или выходящие на UNC-путь к ресурсу, особенно что-то с хорошей структурой каталогов большого размера, внезапно получат тонну приема трафика с хост-сервера. Обычно я видел бы 100-300k, как только вы расширяетесь в навигационной панели, он будет стрелять в диапазон 20 000 килобайт.

Закончилось отключить опцию автоматического расширения до текущей папки в проводнике и этот трафик уходит.

http://www.sevenforums.com/tutorials/1014-navigation-pane-automatically-expand-current-folder.html


1
2017-08-02 20:01





У меня была аналогичная проблема, однако в моем случае оказалось, что некоторые автономные файлы были включены. Я собираюсь расследовать вещи на стороне сервера (например, я думал, что он отключен глобально через групповую политику и по акциям .....), но у меня было две машины Windows 7 в удаленном офисе, которые пытались синхронизировать несколько сотен GB через VPN-соединение.

(Редактировать перед публикацией: автономные файлы не были должным образом отключены в общих папках, возможно, после миграции сервера.


0
2018-02-15 19:32