Windows系统内存分析工具的介绍

概述

微软官方提供多种工具来分析Windows系统的内存使用情况，除了系统自带的任务管理器（Task Manager），资源监视器（Resource Manager），性能监视器（Performance Monitor），还有SysInternals工具，SysInternals工具如RAMMap和PoolMon，可以用来分析内存问题。本文简单介绍这些工具的使用方法，如果需要了解深入了解，请参考微软相关链接。

• 任务管理器

• 资源监视器

• 性能监视器

• RAMMap和Process Explorer

• Pool Monitor

任务管理器

Windows系统可以使用任务管理器进行内存监控，监控可以显示出详细的内存占用的进程。尤其是在性能中检查虚拟内存的使用情况，可以通过已提交虚拟内存（Commited Bytes）/虚拟内存上限（Commit Limit）查看使用情况。如果已提交虚拟内存非常接近上限，那么系统会出现性能问题。

Windows 2008 R2

1. 打开任务管理器，单击 性能，通过任务管理器查看内存使用情况。

还可以添加各类内存指标进行检查，打开任务管理器，依次选择详细信息标签-在表头右键 > 选择列，添加各类内存指标，请重点添加 内存 - 工作集（检查进程物理内存的占用）和 内存 - 提交大小（非保留的虚拟内存空间）。

内存-工作集 ：就是在RAM这种物理内存中占用的大小

内存 - 提交大小：就是提交的总虚拟内存大小，一部分在PageFile，一部分在物理内存

Windows 2012

打开任务管理器，单击 性能，通过任务管理器查看内存使用情况。

资源监视器

通过任务管理器，可以打开资源监视器（Resource Manager），进一步检查内存的使用情况，尤其是每个进程的使用情况。对于各个进程而言，请重点关注 提交（KB）内存的大小，监控是否有进程消耗过多资源。

物理内存的使用包含以下几个部分。

• 给硬件保留的内存。

• 正在使用内存：由进程、驱动程序、操作系统使用的内存。

• 已修改内存：内容必须写入磁盘才能用于其它用途的内存。

• 备用内存：包含未使用的缓存数据和代码的内存。

• 可用内存：不包含任何有价值数据，以及当进程、驱动程序、操作系统需要更多的内存时优先使用的内存。

• 缓存：当文件被打开时，系统会把文件保存在缓存中，方便下次迅速读写。Windows 2008 R2及以后版本，对这个缓存的使用也做了限制，有一部分物理内存不会被缓存使用，保证系统即使在缓存过大的时候，也有可用物理内存，满足程序使用需求。

性能监视器

性能监视器（Performance Monitor）是用于Windows监控和收集系统资源消耗的重要工具。

1. 监控性能消耗可以通过添加指定的计数器，实时检查系统资源消耗的情况，如下图所示。

2. 此外，还可以依次选择 数据收集搜集 > 用户定义，手工添加各类计数器，例如Logical Disk、Memory、System、Processor、 Process来收集系统各类资源的实时运行情况，同时通过采样间隔来定义收集频率。例如，如果机器有内存泄露问题很久才能复现，可以配置采样间隔为5秒，如果机器很容易出现CPU异常，那么可以配置采样间隔为1秒。

RAMMap和Process Explorer

RAMMap

有时在任务管理器的监控窗口中查看不到占用内存异常的进程，但物理内存显示已经负载的状态。这种情况一般是系统底层有占用内存的情况，可以通过RAMMap工具查看系统内存的占用情况，该工具是微软官方的软件，相关信息及下载地址请访问RAMMap。打开RAMMap，可以查看任务管理器中不显示的系统占用内存的情况。

Process Private: 分配给单一Process专用的内存

Mapped File: 用来储放档案内容快取(Cache)的内存空间

Shared Memory: 标注给多个Process共用的内存分页(Page，内存管理单位)

Page Table: 用来描述虚拟内存位址的分页表(裡面是一笔一笔的PTE，Page Table Entries)

Paged Pool: 允许移至硬盘的核心集区内存(Kernal Pool Memory)

Nonpaged Pool: 不允许移至硬盘的核心集区内存

System PTEs: 与I/O空间、核心堆叠、内存描述清单等系统分页相关的PTE

Session Private: 登入工作阶段相关的内存

Metafile: 是系统快取的一部份，包含NTFS Metadata(包含MFT及其他NTFS Metadata档案)。在MFT中，每个档案属性记录佔用1K，而一个档案至少有一个属性记录，再加上其他NTFS Metadata档，当档案数众多，这块会很快速成长。

AWE: 启用Address Windowing Extension技术所使用的相关内存空间(较常应用在SQL或其他DB)

Driver Locked: 驱动程式锁定的实体内存。多用于I/O的暂时性小量应用，如果有装RAMDisk，也会算在这一区。

Kernel Stack: 核心执行绪推叠，执行绪愈多，用量愈大。

每项分类都有以下栏位:

Active: 正在使用中的实体内存分页(Process Working Set或System Working Set)

Standby: 留在实体内存但暂不使用的分页，保留供后续能快速重覆利用

Modified: 与Standy类似，但内容被修改过，重覆使用前要先回写到硬盘机

Modified no write: 与Modified类似，但标注为不需回写到硬盘

Transition: 在分类之间转换的分页

Zeroed: 内容已清空可供使用的分页，系统刚开机时明显增加，随著使用一段时间逐步转为Standby

Free: 可以使用但残留先前资料的分页，使用前需先转为Zeroed

Bad: 标注损坏的内存

Process Explorer

Process Explorer也可以查看进程的详细资源占用情况，例如打开后也可以查看到进程的各类内存资源使用情况。

Pool Monitor

对于WIndows内核而言，其两项核心的内存资源为non paged pool（非页面缓冲池）以及paged pool（页面缓冲池）。操作系统出现内存性能问题，很可能是上述2个资源消耗殆尽。虽然通过上述提到的工具可以查看到资源消耗的情况，但是如果需要定位是系统哪个Tag消耗的资源，需要使用PoolMon来定位。使用介绍请参考Pool Monitor。

检查perfmon的日志来定位究竟是哪个Pool Tag导致的资源消耗殆尽，例如，检查到IoDn Tag导致资源消耗完，通过如下命令定位到是SafeDogFileGuard.sys,，而后通过修正该应用解决。

findstr /m /1 IoDn *.sys

系统显示类似如下。