在 Powershell 中终止内存泄露进程但保证父进程安全

Question 1

使用 WMI，您可以获取进程的 ParentProcessID

gwmi -Class win32_process -Filter 'name like "%iexplore%"' | 
    select Name, ProcessID, ParentProcessID

附注：虽然在 iexplore 情况下不太可能发生，但父进程完全有可能停止并且 id 被另一个进程重用。

Answer

使用 WMI，您可以获取进程的 ParentProcessID

gwmi -Class win32_process -Filter 'name like "%iexplore%"' | 
    select Name, ProcessID, ParentProcessID

附注：虽然在 iexplore 情况下不太可能发生，但父进程完全有可能停止并且 id 被另一个进程重用。

Question 2

这是创建此类列表的一种方法。首先，将相关进程名称的所有 PID 存储在一个数组中。然后过滤进程列表以仅包含父 PID 也位于该数组中的进程。这样做之所以有效，是因为 iexplore 子进程的父进程将是 PID 数组中的另一个 iexplore，而第一个 iexplore 进程的父进程可能是 Explorer，其 PID 不在该数组中。

$pids = (gwmi -Class win32_process -Filter 'name like "%iexplore%"' | select processid).processid
"PIDs"
$pids
"All Children"
gwmi -Class win32_process -Filter 'name like "%iexplore%"' | where { $_.parentprocessid -in $pids } | select -prop commandline,processid
"Children > Size"
gwmi -Class win32_process -Filter 'name like "%iexplore%"' | where { $_.parentprocessid -in $pids -and $_.ws -gt 500MB } | select -prop commandline,processid
"Parent(s)"
gwmi -Class win32_process -Filter 'name like "%iexplore%"' | where { $_.parentprocessid -notin $pids } | select -prop commandline,processid

请注意，您无法使用以开头的单个管道执行此操作Get-WmiObject -ComputerName $[list of servers]。这会在多个设备上创建单个进程集合。不同设备上的进程之间没有父进程关系。您需要将进程枚举嵌套在针对每个服务器运行的循环内。

foreach ($server in $listOfServers) {
    $pids = (gwmi -comp $server win32_process -Filter 'name like "%iexplore%"' | select processid).processid
    # Report only, no kill
    gwmi -comp $server win32_process -Filter 'name like "%iexplore%"' | where { $_.parentprocessid -in $pids -and $_.ws -gt 500MB } | select -prop commandline,processid
    # Kill, uncomment to enable
    # gwmi -comp $server win32_process -Filter 'name like "%iexplore%"' | where { $_.parentprocessid -in $pids -and $_.ws -gt 500MB } | foreach { $_.terminate() }
}

Answer

这是创建此类列表的一种方法。首先，将相关进程名称的所有 PID 存储在一个数组中。然后过滤进程列表以仅包含父 PID 也位于该数组中的进程。这样做之所以有效，是因为 iexplore 子进程的父进程将是 PID 数组中的另一个 iexplore，而第一个 iexplore 进程的父进程可能是 Explorer，其 PID 不在该数组中。

$pids = (gwmi -Class win32_process -Filter 'name like "%iexplore%"' | select processid).processid
"PIDs"
$pids
"All Children"
gwmi -Class win32_process -Filter 'name like "%iexplore%"' | where { $_.parentprocessid -in $pids } | select -prop commandline,processid
"Children > Size"
gwmi -Class win32_process -Filter 'name like "%iexplore%"' | where { $_.parentprocessid -in $pids -and $_.ws -gt 500MB } | select -prop commandline,processid
"Parent(s)"
gwmi -Class win32_process -Filter 'name like "%iexplore%"' | where { $_.parentprocessid -notin $pids } | select -prop commandline,processid

请注意，您无法使用以开头的单个管道执行此操作Get-WmiObject -ComputerName $[list of servers]。这会在多个设备上创建单个进程集合。不同设备上的进程之间没有父进程关系。您需要将进程枚举嵌套在针对每个服务器运行的循环内。

foreach ($server in $listOfServers) {
    $pids = (gwmi -comp $server win32_process -Filter 'name like "%iexplore%"' | select processid).processid
    # Report only, no kill
    gwmi -comp $server win32_process -Filter 'name like "%iexplore%"' | where { $_.parentprocessid -in $pids -and $_.ws -gt 500MB } | select -prop commandline,processid
    # Kill, uncomment to enable
    # gwmi -comp $server win32_process -Filter 'name like "%iexplore%"' | where { $_.parentprocessid -in $pids -and $_.ws -gt 500MB } | foreach { $_.terminate() }
}

在 Powershell 中终止内存泄露进程但保证父进程安全

答案1

答案2

相关内容