Обзоры утилит от Sysinternals.com:
- Process Explorer (контроль за процессами)
- PageDfrg (дефрагментация системных файлов)
- Autoruns (управление автозагрузкой)
- FileMon (монитор файловой системы)
- RegMon (монитор реестра)
В продолжение цикла статей об утилитах, свободно распространяемых на www.sysinternals.com, обзор Монитора файловой системы FileMon.
Утилита очень проста в использовании, имеет небольшой размер и предоставляет полный контроль над обращениями к файловой системе. FileMon позволяет собрать всю информацию об обращении к файлам системы, программ, показывает какие библиотеки используют приложение и является отличным средством для диагностики проблем, которые могут возникать в работе приложений и системы. Гибкая настройка фильтра позволяет получить сведения об обращениях к файловой системе определенной программы, что значительно облегчает диагностику неисправностей в работе программы. Совместимость со всеми версиями Windows делает FileMon универсальным инструментом.
Внешний вид FileMon показан на рисунке ниже.
При помощи пункта меню File – Path Properties можно получить информацию о свойствах файла, к которому было зафиксировано обращение. При помощи File – Process Properties – информацию о процессе, выполнявшем обращение к файлу.
Пункты меню Edit – Include Process и Edit – Exclude Process служат для быстрой настройки фильтра и либо включают, либо исключают из мониторинга обращения определенных процессов к файловой системе. Пункты Edit – Include Path и Edit – Exclude Path включают или отключают мониторинг обращений любого процесса к определенному файлу.
Пункт меню Edit – Explorer Jump, либо двойной щелчок по строке в окне программы, открывает Проводник и делает текущей ту папку, в которой находится объект, попытка доступа к которому была зафиксирована FileMon.
Окно настройки фильтра FileMon можно открыть при помощи Options – Filter/Highlight. Внешний вид окна настройки фильтра показан на рисунке ниже.
По умолчанию, при первом запуске утилиты, она начинает сбор информации обо всех обращениях к файловой системе. Чтобы включить (Include) или исключить (Exclude) в мониторинг определенный(е) процесс(ы) или путь(и), необходимо прописать их в настройках фильтра. Имена процессов или путей разделяются точкой с запятой. Поле Highlight позволяет указать имя процесса или путь, обращения которых или к которым будет подсвечено в главном окне программы определенным цветом. Это упрощает дальнейшую работу с результатами мониторинга и позволяет оперативно находить интересующую информацию.
Три чек–бокса внизу окна настройки фильтра позволяют настроить протоколирование только определенных действий над объектом, как то Открытие ( Open ), Чтение ( Reads ) или Запись ( Writes ). Эти настройки разрешают максимально сократить объем лишней информации, собираемой монитором, и значительно облегчают поиск необходимых значений в логе работы.
Пункт меню Options – Advanced Output включает протоколирование процесса System и позволяет отслеживать работу диспетчера памяти и протоколировать обращения системы к файлу подкачки.
Пункт меню Volumes позволяет включать или отключать мониторинг обращений только к определенным томам.
В качестве примера работы с FileMon можно решить задачу определения места хранения файлов почтовой базы данных Outlook Express. Для этого нужно настроить фильтр следующим образом:
Т.е. FileMon будет протоколировать только чтение данных процессом msimn.exe. Для сбора информации достаточно настроить фильтр, проверить, что включено протоколирование (отмечен пункт File – Capture Events) и открыть Outlook Express. Пример окна утилиты с собранными данными показан ниже.
Теперь нужно остановить протоколирование и в столбце Path главного окна утилиты найти имя файла базы данных. Например, Входящие.dbx. Двойной щелчок по этой строке откроет Проводник на той папке, где хранятся почтовые базы данных.
