Die Mitarbeiter von Sysinternals stellen einige hochwertige und sehr nützliche Windows-Tools her. Ein weiterer Tipp befasst sich mit dem Prozess-Explorer. Ich dachte, ich würde Ihnen das Prozess-Monitor-Tool vorstellen. Der Prozessmonitor eignet sich hervorragend zur Überwachung aller Aktivitäten, die für alle Prozesse auf Ihrem System ausgeführt werden. In der Tat macht seine Standardkonfiguration es zu gut, weil Sie schnell überwältigt sind, wie viele Daten Ihnen präsentiert werden. Machen Sie sich jedoch keine Sorgen – Sie lernen, wie Sie die Daten filtern, damit Sie genau wissen, was Sie überwachen möchten, ohne von Daten überfordert zu sein, die Sie nicht interessieren.

Mit Process Monitor können Sie Prozessdetails erfassen, einschließlich Bildpfad, Befehlszeile, Benutzer- und Sitzungs-ID. Konfigurieren Sie die GUI so, dass alle Spalten angezeigt werden, die von Interesse sind. Legen Sie Einschluss- / Ausschlussfilter für jedes Datenfeld fest – auch für diejenigen, deren Spalten nicht angezeigt werden. und vieles mehr. Persönlich verwende ich es am häufigsten, wenn ich Aktivitäten in einer bestimmten Datei verfolgen oder genau verfolgen möchte, was ein bestimmter Prozess tut.

Der beste Weg, um Process Monitor zu verstehen, besteht darin, es tatsächlich zu verwenden. Das erste, was Sie tun müssen, ist, es von der Website herunterzuladen:

http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

Process Monitor ist eine einfache EXE-Datei, die entweder über die Befehlszeile oder über den Windows Explorer ausgeführt werden kann. Beim ersten Start wird eine Vereinbarung angezeigt, auf die Sie klicken sollten, um zuzustimmen.

Von da an können Sie es ausführen, ohne den Startbildschirm zu sehen.

Der Bildschirm für Process Monitor wird unten angezeigt. (Siehe Abbildung 1.)

image

Abbildung 1. Hauptbildschirm von Process Monitor.

Standardmäßig beginnt Process Monitor, sobald es angezeigt wird, Tausende von Datenzeilen über die Aktivitäten zu scrollen, die mit den meisten Prozessen auf Ihrem System ausgeführt werden. Die angezeigten Spalten sind konfigurierbar. Auf meinem System ist es so konfiguriert, dass die Spalten Uhrzeit, Prozessname, PID, Betrieb, Pfad, Ergebnis und Detail in Bezug auf die überwachten Aktivitäten angezeigt werden. Sie können ändern, welche Spalten angezeigt werden, indem Sie mit der rechten Maustaste auf eine der Spaltenüberschriften klicken, um das Dialogfeld Spaltenauswahl des Prozessmonitors anzuzeigen. (Siehe Abbildung 2.)

image

Abbildung 2. Spalten auswählen.

Sie können sogar die Reihenfolge ändern, in der die Spalten angezeigt werden, indem Sie auf eine Spaltenüberschrift klicken und sie an eine beliebige Stelle ziehen und dann die Maustaste loslassen.

Process Monitor verfügt über QuickInfos für die Symbole, die Sie oben im Hauptbildschirm sehen. Wenn Sie mit der Maus über die einzelnen Symbole fahren, wird eine kurze Beschreibung der Funktionsweise des Symbols angezeigt. Der Tipp für das erste Symbol links lautet beispielsweise „Öffnen“ (Sie können die Ausgabe von Process Monitor speichern und später zur Analyse öffnen). Das nächste Symbol ist die Funktion „Speichern“ und so weiter. Es gibt nicht so viele Symbole, und visuell ist es ziemlich offensichtlich, was sie tun, aber ich habe festgestellt, dass einige davon besonders nützlich sind. In diesem Tipp werde ich nur diejenigen erwähnen, die ich am häufigsten verwende, und in dem Tipp mit dem Titel „Using Process Monitor“ werde ich etwas ausführlicher auf deren Verwendung eingehen.

Ein gutes Werkzeug ist das dritte von links: das Erfassungswerkzeug. Dadurch wird der Bildschirm eingefroren und Sie können den Schnappschuss auf verschiedene Arten analysieren. Das nächste Symbol rechts schaltet AutoScroll um. Auf diese Weise können Sie das Live-Scrollen deaktivieren und Process Monitor weiterhin überwachen lassen, was gerade passiert. Wenn Sie AutoScroll wieder einschalten, wird sofort die aktuelle Uhrzeit eingeholt.

Mit dem fünften Symbol von links können Sie die Anzeige löschen. Normalerweise verwenden Sie diese Funktion in Verbindung mit dem Einstellen von Filtern, sodass Sie mit einer leeren Anzeige beginnen und dann auf die Aktivität achten können, die Sie in Ihren Filtern angegeben haben.

Apropos Filter: Die Möglichkeit, die Ausgabe zu filtern, ist wahrscheinlich das Herzstück von Process Monitor. Gefilterte Daten werden zu sehr nützlichen Informationen, wenn Sie das Verhalten eines bestimmten Prozesses untersuchen. Das Filtersymbol befindet sich an sechster Stelle von links und sieht aus wie eine umgedrehte Pyramide.

Sie beenden Process Monitor einfach durch Klicken auf die Schaltfläche Schließen oder durch Auswahl von Datei | Beenden Sie das Menü.

Dieser Tipp (13119) gilt für Windows 7, 8 und 10.