Установка фильтров программы Process Monitor .
Process Monitor запоминает последний используемый набор фильтров и применяет его при следующем запуске программы. Задать условия фильтрации можно сразу после старта утилиты или вызвав окно настройки фильтров ( Process Monitor Filters
) в любой момент времени с использованием меню программы или комбинации клавиш
CTRL+L
. Кроме непосредственного создания правил фильтрации вручную, возможно использование кнопок панели инструментов и контекстного меню, вызываемого правой кнопкой мышки.
Меню позволяет выполнять действия фильтров Include
,
Exclude
и
Highlight
с использованием данных выбранного события. Так, например, выбор пункта меню
Exclude «PTStartmon.exe»
приведет к созданию правила фильтра для исключения из наблюдения процесса с именем PTStartmon.exe. Выбор
Highlight
— выпадающее меню —
Result
вызовет подсвечивание всех записей, в поле результата выполнения отслеживаемой операции которых, будет такое же значение, как и в текущем событии.
Exclude
и
Category
— исключить из выходных данных события, категория которых совпадает с категорией выбранной записи. Обычно, используется исключение операций, путей и процессов, информация о которых не нужна в выходных данных.
Создание фильтров вручную позволяет получать более гибкие правила, основанные на использовании логических выражений.
Запись правила фильтрации состоит из 4-х колонок:
Column
— колонка (содержимое поля описания события) записи события. Можно выбрать одно из возможных полей отображаемого в окне данных программы события.
Relation
— логическое выражение. Is — равно, принимает значение Is not — не равно Less then — меньше чем More then — больше чем Begin with — начинается с Ends with — заканчивается на Contains — содержит Excludes — не содержит
Value
— значение. Зависит от свойств выбранного поля в первой колонке (Columns)
Action
— действие. Exclude — исключить событие, соответствующее условиям данного фильтра. Include — включить событие, соответствующее условиям данного фильтра. Выпадающие меню позволяют выбрать элемент события (признак по которому будет срабатывать правило фильтрации), логическую операцию над ним и действие, выполняемое при удовлетворении условий фильтрации. Например, для того, чтобы не отслеживались события, связанные с процессами компании Microsoft, можно создать следующее правило:
Column
(колонка) — выбираем значение
CompanyRelation
(выражение — можно выбрать
is
(равно) или, более универсально —
contain
(содержит)
Value
(значение) — выбираем
Microsoft CorporationAction
(действие) — выбираем
Exclude
— исключить.
В итоге, получаем правило — «не отображать события, в поле имени компании которых присутствует значение Microsoft Corporation».
Необходимо учитывать, что Procces Monitor, при завершении работы, запоминает последний активный фильтр и при следующем запуске применяет его в качестве текущего. Для сброса фильтра используется комбинация клавиш CTRL+R.
Основное меню (menu bar) программы Process Monitor .
Пункты основного меню FileOpen CTRL+O
— открыть из файла ранее сохраненный отчет и просмотреть его
Save CTRL+S
— сохранить содержимое окна в файл отчета .
Backing Files CTRL+B
— файл для записи информации о событиях. По умолчанию, используется файл подкачки (pagefile.sys).
Capture Events CTRL+E
— Включить/выключить режим перехвата событий.
Export Configuratuion
— экспорт конфигурации. Позволяет сохранить текущие настройки Process Monitor в специальном файле конфигурации (.PMC)
Import Configuration
— загрузить настройки Process Monitor из сохраненного файла конфигурации. Пункты основного меню
EditCopy CTRL-C
— скопировать в буфер обмена выделенные строки.
Find CTRL+F
— поиск строки с заданным текстом.
Auto Scroll CTRL+A — автоматическая прокрутка в окне отображения событий. Clear Display CTRL+X
— очистить список перехваченных данных. Удаляются все строки, записанные с момента начала перехвата.
Пункты основного меню EventProperties CTRL-P
— отобразить свойства выбранного события.
Отображается окно свойств события Event Properties
Вкладка Event
содержит подробную информацию о событии — время, класс события, выполняемая операция, результат и некоторые данные, зависящие от типа выполняемой операции. Вкладка
Process
позволяет просмотреть подробную информацию о процессе — имя, версию, путь исполняемого файла, параметры командной строки, PID самого процесса и PID его родителя, список загруженных библиотек. Вкладка
Stack
— информация о вызовах функций модулей ядра (помечены буквой
K
) и модулей среды пользователя (помечены буквой
U
).
Jump to CTRL+J
— быстрый переход к просмотру источника события.
Search Online
— поиск в Интернет информации, связанной с описанием события..
Include
— добавление в список отслеживаемых событий по имени процесса, пути исполняемого файла, параметров командной строки и т.д.
Exclude
— исключение из списка отслеживаемых событий по имени процесса, пути исполняемого файла, параметров командной строки и т.д.
Highlight
— выделение из списка отслеживаемых событий по имени процесса, пути исполняемого файла, параметров командной строки и т.д. Последние три пункта меню позволяют быстро сформировать фильтры для обработки данных Process Monitor.
Пункты основного меню FilterEnable Advanced Output
— расширенный вывод данных события. Касается, в основном, представления информации о выполненной операции.
Filter CTRL+L
— вызов окна настройки фильтров.
Reset Filter CTRL+R
— сброс текущих настроек фильтров.
Load Filter
— загрузить ранее созданный фильтр.
Save Filter
— сохранить текущий фильтр.
Organize Filter
— удалить, переименовать, экспортировать или импортировать фильтр.
Highlight CTRL+H
— вызов окна настройки выделения (подсвечивания) событий. Пункты основного меню
ToolsSystem Details
— показать информацию о системе — имя компьютера, операционную систему, корневой каталог ОС, количество процессоров (CPU), объем оперативной памяти, разрядность 32/64 бит..
Process Tree CTRL+T
— вывести дерево процессов.
Process Activity Summary
— суммарные данные активности процессов. По каждому процессу выдается суммарная таблица количества операций ввода-вывода, обращений к файлам и реестру, степени использования процессора.
File Summary
— суммарные данные использования файловой системы. С помощью выбора вкладок можно получить статистику по использованию путей, каталогов, файлов с определенными расширениями.
Registry Summary
— суммарные данные по обращениям к реестру Windows. Общее количество обращений, количество операций открытия, закрытия, чтения, записи. Статистика обращений к различным разделам и ключам.
Stack Summary
— суммарные данные по использованию функций Windows.
Network Summary
— суммарные данные по использованию сети Число установлений соединений, число разрывов, число передач и приемов, количество принятых и переданных байт, сетевые пути.
Cross Reference Summary
— суммарные данные по совместному использованию ресурсов Windows разными процессами. Информация о файлах, в которые одни процессы выполняют запись, а другие — чтение.
Count Occurrences
— можно получить суммарные данные по выбранным колонкам. Название колонки нужно выбрать в поле
Column
и нажать кнопку
Count
В поле данных будет выведена статистическая информация об использовании различных значений выбранной колонки. Пункты основного меню
OptionsAlways on Top
— всегда отображать окно программы Process Monitor поверх всех остальных окон.
Font
— выбор шрифта для окна
Highlight Colors
— выбор цвета для фона и текста записей, выбранных в качестве подсвечиваемых.Позволяет задать цвет текста (кнопка FG) и цвет фона (кнопка BG) для выделяемых подсветкой событий
Configure Symbols
— конфигурирование источника для определения имен функций. .
History Depth
— Позволяет задать степень использования виртуальной памяти (количество запоминаемых в течении сессии записей — от 1 до 199 миллионов). В случае, когда монитор процессов работает длительное время, часть записей о событиях может быть отброшена, но в любом случае наиболее часто регистрируемая активность будет сохранена.
Profiling Events
— интервал перехвата состояния выполняющихся процессов.
Enable Boot Logging
— установить режим мониторинга процессов во время загрузки ОС.
Show Resolved Network Addresses CTRL+N
— установить режим отображения сетевых имен вместо IP-адресов.
Запуск монитора ресурсов
Способ запуска, который одинаково будет работать и в Windows 10 и в Windows 7, 8 (8.1): нажмите клавиши Win + R на клавиатуре и введите команду perfmon /res
Еще один способ, который так же подойдет для всех последних версий ОС — зайти в Панель управления — Администрирование, и выбрать там «Монитор ресурсов».
В Windows 8 и 8.1 вы можете использовать поиск на начальном экране для запуска утилиты.
Общие сведения о программе Process Monitor .
Process Monitor
— программа от компании
Sysinternals
для наблюдения в реальном масштабе времени за действиями различных процессов в среде операционной системы Windows. После приобретения Sysinternals компанией Майкрософт, в разделе технической поддержки появился раздел Windows Sisinternals где можно найти описание и ссылки для скачивания большинства программных продуктов Sysinternals. Утилита
Process Monitor
, включает в себя возможности программы мониторинга обращений к реестру
Regmon
и программы мониторинга обращений к файловой системе
Filemon
, и дополнительно, позволяет получать более подробную информацию о взаимодействии процессов, использовании ресурсов, сетевой активности и операциях ввода-вывода. Авторы — Марк Руссинович (Mark Russinovich) и Брюс Когсуэлл (Bryce Cogswell)
Программа работает во всех версиях ОС Windows (проверено на Windows 2000 и старше), не требует инсталляции, однако должна выполняться под учетной записью с правами администратора. В архиве также присутствует файл документации на английском языке procmon.chm и текстовый файл с кратким описанием и лицензионным соглашением.
Для своей работы, Process Monitor устанавливает в системе собственный драйвер PROCMON20.SYS
, с помощью которого выполняется перехват контролируемых монитором системных функций и сбор данных подлежащих мониторингу. Наблюдение выполняется для следующих классов операций — обращения к файловой системе (file system), обращение к реестру (Registry), работа с сетью (Network), и активность процессов (Process). При первом запуске на экран будет выдано лицензионное соглашение, требующее подтверждения пользователя. Затем, после старта программы
Process Monitor
, выводится окно с фильтрами для исключения из процесса наблюдения событий стандартной активности системы и самого монитора.
Созданию фильтров будет посвящен отдельный раздел статьи, поэтому пока можно просто закрыть это окно и продолжить знакомство с программой.
После запуска исполняемого файла procmon.exe
начинается сбор, обработка и вывод данных об отслеживаемых событиях в основном окне программы:
Интерфейс программы состоит из 3-х частей — строка меню (menu bar), панель инструментов (toolbar) и область вывода данных в виде списка. Программа перехватывает отслеживаемые события, связанные с активностью процессов и выдает данные в соответствии с заданными критериями фильтрации и пользовательскими настройками отображаемых колонок. Для остановки мониторинга нужно щелкнуть мышкой по кнопке с лупой на панели инструментов, так, чтобы ее изображение стало перечеркнутым красной линией. Повторный щелчок вернет режим перехвата.
Каждому событию, перехваченному программой Process Monitor
, соответствует одна строка в окне вывода данных. Двойной щелчок на отдельной строке вызовет окно просмотра свойств события (Event Properties). Порядок следования строк соответствует последовательности выполнения операций. Информация в окне вывода данных разделена на несколько столбцов, состав которых можно выбрать с помощью контекстного меню
Select Columns
, вызываемого правой кнопкой мышки на поле описания колонок или через главное меню —
Options — Select Columns
.
Возможен вывод колонок, разбитых на 3 категории:
Application Details
— сведения о процессе
Event Details
— сведения о событии
Process Management
— данные о родительском процессе, порождаемых потоках и контексте учетной записи безопасности исследуемого процесса.
Вывод всех колонок на экран неудобен, поэтому лучше ограничиться их минимально необходимым количеством, а более детализированную информацию получать двойным щелчком на строке отображаемого события.
В последних версиях Process Monitor при первом запуске выводятся колонки, наиболее подходящие для быстрого анализа информации и дающие представление о том, какой процесс, какую операцию выполнил, и с каким результатом.:
Sequence
— номер строки (порядок следования события по времени) с начала сессии перехвата отслеживаемых событий.
Process Name
— имя процесса, вызвавшего событие.
Operation
— выполняемая операция. Значение зависит от типа обращения и представляет собой краткое описание, как , например, открытие ключа реестра
RegOpenKey
или отправка TCP пакета
TCP SendPath
— путь, связанный с используемым ресурсом. Это может быть файл, ключ реестра, данные TCP соединения и т.п.
Result
— результат выполнения запроса:
END OF FILE
— обнаружен признак конца файла (EOF)
NAME NOT FOUND
— файл, каталог или данные реестра не найдены
NAME COLLISION
— была попытка создать новый файл, но файл с таким именем уже существует.
FILE LOCKED
-файл открыт для монопольного доступа.
SUCCESS
— операция выполнена успешно.
INVALID DEVICE REQUEST
— неверный запрос к устройству.
FAST I/O DISALLOWED
— операция ввода/вывода с использованием устаревшего запроса к драйверу запрещена (интерфейс «fast I/O» в большинстве современных драйверов не поддерживается и заменен на интерфейс IRP — I/o Request Packet — пакет запроса на ввод/вывод).
Detail
— дополнительная информация о событии, описывающая тип запроса, права доступа, свойства файла или каталога, тип данных, значение ключа реестра и т.п.