В. Что такое Process Monitor?

О. объединены функции старых инструментов Regmon и Filemon, и добавлены усовершенствованные фильтры. Инструмент можно загрузить по адресу http://list.windowsitpro.com/t?ctl=42267:80942B.

Однако пользователям, привыкшим к старому интерфейсу фильтрации Regmon, потребуется переучиться. Например, вместо флажков для регистрации операций чтения и записи реестра появился новый интерфейс на базе логики, как показано на иллюстрации по адресу http://list.windowsitpro.com/t?ctl=42272:80942B. Вместо того, чтобы просто установить флажок "View registry writes", теперь нужно задействовать новое правило Operation, чтобы показать, является ли данная операция RegSetValue.

При смене фильтра обновляется вся история процесса после запуска приложения, а не только начиная с данного момента времени. Process Monitor собирает информацию постоянно, а фильтр определяет, какие данные отображаются на экране. По умолчанию Process Monitor сохраняет данные в файле подкачки, но пользователь может назначить отдельный файл хранения с помощью панели инструментов File, Backing Files. Очевидно, что инструмент собирает много данных, которые занимают много места на диске. Это хранилище можно настроить для регистрации событий с помощью ключа /BackingFile.

Журналы событий можно сохранить в собственном формате Process Monitor или в файле в формате с разделением запятыми (CSV), в котором можно записать все собранные события, только события, соответствующие текущему фильтру или выбранные события. События, сохраненные в собственном формате Process Monitor, впоследствии можно прочитать назад в утилиту.

Поделитесь материалом с коллегами и друзьями