Process Monitor: мониторинг реестра

We use cookies. Read the Privacy and Cookie Policy

Process Monitor: мониторинг реестра

Опытные пользователи со стажем, давно работающие с реестром, хорошо знают программу Regmon, которая отслеживала изменения в реестре в режиме реального времени. Очень часто она использовалась в паре с другой известной утилитой, Filemon. Некоторое время назад авторы этих программ Марк Руссинович (Mark Russinovich) и Брайс Когсуэлл (Bryce Cogswell) объединили обе программы и создали новую утилиту – Process Monitor.

Эту программу нужно обязательно иметь в своем арсенале любому системному администратору и опытному пользователю, которые всерьез изучают реестр.

Скачать программу можно на http://sysinternals.com . После скачивания архива с программой достаточно распаковать этот архив и запустить файл Procmon.exe.

Process Monitor (рис. 5.4) позволяет следить за активностью файловой системы и сети, за доступом к реестру, за процессами и потоками.

Рис. 5.4. Process Monitor

Если вы попытаетесь отследить с помощью Process Monitor все виды поддерживаемых им событий, вы рискуете буквально утонуть в море информации. Для того чтобы в реальном времени следить за текущей активностью системы, в частности за доступом к реестру следует отфильтровать показываемые в окне программы события, нажав кнопку Show Registry Activity (Показывать активность реестра) на панели инструментов программы.

При необходимости данные, собранные программой, можно сохранять в виде файла. Это очень полезная возможность, так как, если вы хотите проанализировать какие-то события, в режиме реального времени это сделать очень сложно.

Выполнив команду File ? Save (Файл ? Сохранить) или нажав соответствующую кнопку на панели инструментов, вы вызовете окно, которое содержит параметры настройки сохранения файла (рис. 5.5).

Рис. 5.5. Сохранение файла в Process Monitor

В частности, в группе параметров Events to save (События для-сохранения) можно выбирать события, информацию о которых вы хотите сохранить в файл. По умолчанию это – Events displayed using current filter (События, отображаемые с использованием текущего фильтра) . Если вам нужно сохранить все события, информацию о которых накопила программа, выберите опцию All events .

В группе параметров Format (Формат) нужно выбрать формат сохранения данных.

? Формат– CSV (Comma Separated Values – данные, разделенные запятыми) позволит открыть сохраненный файл в любом текстовом или табличном редакторе.

? Формат PML , который является «родным» форматом Process Monitor, позволяет работать с сохраненными файлами в программе.

? Формат XML является универсальным форматом передачи данных.

Данный текст является ознакомительным фрагментом.