Сотрудники Sysinternals создают несколько высококачественных и очень полезных инструментов для Windows. Еще один совет касается их Process Explorer, поэтому я решил познакомить вас с их инструментом Process Monitor. Монитор процессов отлично подходит для мониторинга всей активности, которая происходит для всех процессов в вашей системе. Фактически, его конфигурация по умолчанию делает его слишком хорошим, потому что вы быстро подавляетесь тем, сколько данных вам представляется. Однако не волнуйтесь — вы узнаете, как фильтровать данные, чтобы вы могли точно определить, что вы хотите отслеживать, не перегружаясь данными, которые вам не нужны.

С помощью Process Monitor вы можете фиксировать детали процесса, включая путь к изображению, командную строку, пользователя и идентификатор сеанса; настроить графический интерфейс, чтобы он отображал все интересующие столбцы; установить фильтры включения / исключения для любого поля данных — даже для тех, столбцы которых не отображаются; и многое другое. Лично я чаще всего использую его, когда хочу отслеживать активность с определенным файлом или точно отслеживать, что делает определенный процесс.

Лучший способ понять Process Monitor — это фактически использовать его, поэтому первое, что нужно сделать, — это загрузить его с их сайта:

http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

Process Monitor — это простой файл .exe, который можно запустить из командной строки или из проводника Windows. При первом запуске вам будет предложено соглашение, с которым вы должны щелкнуть, чтобы согласиться с ним.

С этого момента вы сможете запускать его, не видя этого начального экрана.

Экран Process Monitor показан ниже. (См. Рис. 1.)

image

Рис. 1. Главный экран монитора процессов.

По умолчанию, как только он появляется, Process Monitor начинает прокручивать тысячи строк данных о действиях, происходящих с большинством процессов в вашей системе. Отображаемые столбцы можно настраивать. В моей системе он настроен для отображения столбцов «Время дня», «Имя процесса», «PID», «Операция», «Путь», «Результат» и «Сведения», относящиеся к отслеживаемым действиям. Вы можете изменить отображаемые столбцы, щелкнув правой кнопкой мыши один из заголовков столбцов, чтобы открыть диалоговое окно Выбор столбца монитора процессов. (См. Рис. 2.)

image

Рисунок 2. Выбор столбцов.

Вы даже можете изменить порядок отображения столбцов, щелкнув и перетащив заголовок столбца в любое место, а затем отпустив кнопку мыши.

В Process Monitor есть всплывающие подсказки для значков, которые вы видите в верхней части его главного экрана. При наведении указателя мыши на каждый из значков вы увидите краткое описание того, что делает значок. Например, подсказка для первого значка слева говорит «Открыть» (вы можете сохранить вывод Process Monitor и открыть его позже для анализа). Следующий значок — это функция «Сохранить» и так далее. Иконок не так уж и много, и визуально довольно очевидно, что они делают, но я нашел некоторые из них особенно полезными. В этом совете я просто упомяну те, которые я использую чаще всего, а в совете под названием link: / windows-Using_Process_Monitor [Using Process Monitor] я более подробно расскажу, как их использовать.

Хороший инструмент для использования — третий слева: инструмент «Захват». Это замораживает экран и позволяет анализировать снимок различными способами. Следующий значок справа переключает автопрокрутку. При этом вы можете отключить прокрутку в реальном времени, но при этом Process Monitor продолжит отслеживать, что происходит. Когда вы снова включите AutoScroll, оно сразу же покажет текущее время.

Пятый значок слева позволяет очистить дисплей. Обычно вы используете эту функцию вместе с настройкой фильтров, чтобы вы могли начать с пустого дисплея, а затем наблюдать за действием, которое вы указали в своих фильтрах.

Говоря о фильтрах, возможность фильтровать вывод, вероятно, является сердцем Process Monitor — отфильтрованные данные становятся очень полезной информацией, когда вы исследуете поведение конкретного процесса. Значок фильтра — шестой слева и выглядит как перевернутая пирамида.

Чтобы выйти из Process Monitor, просто нажмите кнопку «Закрыть» или выберите «Файл» | Выход из меню.

Этот совет (13119) применим к Windows 7, 8 и 10.