Сотрудники Sysinternals создают несколько высококачественных и очень полезных инструментов для Windows. Еще один совет касается их Process Explorer, поэтому я подумал, что познакомлю вас с их инструментом Process Monitor. Монитор процессов отлично подходит для мониторинга всей активности, которая происходит во всех процессах в вашей системе. Фактически, его конфигурация по умолчанию делает его слишком хорошим, потому что вы быстро поражаетесь тому, сколько данных вам представляется. Однако не волнуйтесь – вы узнаете, как фильтровать данные, чтобы вы могли точно определить, что вы хотите отслеживать, не перегружаясь данными, которые вам не нужны.
С помощью Process Monitor вы можете фиксировать детали процесса, включая путь к изображению, командную строку, пользователя и идентификатор сеанса; настроить графический интерфейс так, чтобы он отображал все интересующие столбцы; установить фильтры включения/исключения для любого поля данных – даже для тех, столбцы которых не отображаются; и многое другое. Лично я использую его чаще всего, когда хочу отслеживать активность определенного файла или точно отслеживать, что делает определенный процесс.
Лучший способ понять Process Monitor – это использовать его на самом деле, поэтому первое, что нужно сделать, это загрузить его с их сайта:
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
Process Monitor – это простой EXE-файл, который можно запустить из командной строки или из проводника Windows. При первом запуске вам будет предложено соглашение, с которым вы должны щелкнуть, чтобы согласиться с ним. С этого момента вы сможете запускать его, не видя этого начального экрана.
Экран для Process Monitor показан ниже. (См. Рис. 1.)
Рис. 1. Главный экран Process Monitor.
По умолчанию, как только он появляется, Process Monitor начинает прокручивать тысячи строк данных о действиях, происходящих с большинством процессов. ваша система. Отображаемые столбцы можно настраивать. В моей системе он настроен для отображения столбцов «Время дня», «Имя процесса», «PID», «Операция», «Путь», «Результат» и «Подробности», относящиеся к отслеживаемым действиям. Вы можете изменить отображаемые столбцы, щелкнув правой кнопкой мыши один из заголовков столбцов, чтобы отобразить диалоговое окно выбора столбца монитора процессов. (См. Рис. 2.)
Рисунок 2. Выбор столбцов.
Вы даже можете изменить порядок отображения столбцов, щелкнув и перетащив заголовок столбца в нужное место, а затем отпустив кнопку мыши.
В Process Monitor есть всплывающие подсказки для значков, которые вы видите в верхней части его главного экрана. При наведении указателя мыши на каждый из значков вы увидите краткое описание того, что делает значок. Например, подсказка для первого значка слева гласит «Открыть» (вы можете сохранить вывод Process Monitor и открыть его позже для анализа). Следующий значок – это функция «Сохранить» и так далее. Иконок не так уж и много, и визуально довольно очевидно, что они делают, но я обнаружил, что некоторые из них особенно полезны. В этом совете я просто упомяну те, которые использую чаще всего, а в совете под названием Использование Process Monitor я более подробно расскажу, как их использовать.
Хороший инструмент – третий слева: инструмент «Захват». Это замораживает экран и позволяет анализировать снимок различными способами. Следующий значок справа переключает автопрокрутку. При этом вы можете отключить прокрутку в реальном времени, но при этом Process Monitor продолжит отслеживать, что происходит. Когда вы снова включите автопрокрутку, она сразу же догонит текущее время.
Пятый значок слева позволяет вам очистить дисплей. Обычно вы используете эту функцию вместе с настройкой фильтров, чтобы вы могли начать с пустого дисплея, а затем наблюдать за действиями, которые вы указали в своих фильтрах.
Говоря о фильтрах, возможность фильтрация вывода, вероятно, является сердцем Process Monitor – отфильтрованные данные становятся очень полезной информацией, когда вы исследуете поведение конкретного процесса. Значок фильтра – шестой слева и выглядит как перевернутая пирамида.
Вы можете выйти из Process Monitor, просто нажав кнопку «Закрыть» или выбрав Файл | Выйдите из меню.