При поддержке компании Mobatime Systems: лидера в разработке, производстве и продаже приборов и систем времени. Подробнее...
Сайт · Форум · Инструменты WindowsFAQ.ru - Сайт о Windows, компьютерах, системном администрировании, локальных сетях

Поиск

Друзья

Клуб любителей ASPLinux
Kerio Winroute Firewall инструкции настройки

Шаблоны

New_WindowsFAQ
Главная arrow Статьи arrow Программы arrow Монитор файловой системы (File monitor)
Монитор файловой системы (File monitor) Версия для печати
Рейтинг: / 6
ХужеЛучше 
Автор SavageNoName   

Введение

В продолжение цикла статей об утилитах, свободно распространяемых на www.sysinternals.com, обзор Монитора файловой системы FileMon.

Утилита очень проста в использовании, имеет небольшой размер и предоставляет полный контроль над обращениями к файловой системе. FileMon позволяет собрать всю информацию об обращении к файлам системы, программ, показывает какие библиотеки использует приложение и является отличным средством для диагностики проблем, которые могут возникать в работе приложений и системы. Гибкая настройка фильтра позволяет получить сведения об обращениях к файловой системе определенной программы, что значительно облегчает диагностику неисправностей в работе программы. Совместимость со всеми версиями Windows делает FileMon универсальным инструментом.

Интерфейс FileMon

Внешний вид FileMon показан на рисунке ниже.

Интерфейс FileMon
Интерфейс FileMon

При помощи нункта меню File – Path Properties можно получить информацию о свойствах файла, к которому было зафиксировано обращение. При помощи File – Process Properties – информацию о процессе, выполнявшем обращение к файлу.

Пункты меню Edit – Include Process и Edit – Exclude Process служат для быстрой настройки фильтра и либо включают, либо исключают из мониторинга обращения определенных процессов к файловой системе. Пункты Edit – Include Path и Edit – Exclude Path включают или отключают мониторинг обращений любого процесса к определенному файлу.

Пункт меню Edit – Explorer Jump, либо двойной щелчок по строке в окне программы, открывает Проводник и делает текущей ту папку, в которой находится объект, попытка доступа к которому была зафиксирована FileMon.

Окно настройки фильтра FileMon можно открыть при помощи Options – Filter/Highlight. Внешний вид окна настройки фильтра показан на рисунке ниже.

Настройка фильтра FileMon
Настройка фильтра FileMon

По умолчанию, при первом запуске утилиты, она начинает сбор обо всех обращениях к файловой системе. Чтобы включить (Include) или исключить (Exclude) в мониторинг определенный(е) процесс(ы) или путь(и), необходимо прописать их в настройках фильтра. Имена процессов или путей разделяются точкой с запятой. Поле Highlight позволяет указать имя процесса или путь, обращения которых или к которым будет подсвечено в главном окне программы определенным цветом. Это упрощает дальнейшую работу с результатами мониторинга и позволяет оперативно находить интересующую информацию.

Три чек–бокса внизу окна настройки фильтра позволяют настроить протоколирование только определенных действий над объектом, как то Открытие (Open), Чтение (Reads) или Запись (Writes). Эти настройки позволяют максимально сократить объем лишней информации, собираемой монитором, и значительно облегчают поиск необходимых значений в логе работы.

Пункт меню Options – Advanced Output включает протоколирование процесса System и позволяет отслеживать работу диспетчера памяти и протоколировать обращения системы к файлу подкачки.

Пункт меню Volumes позволяет включать или отключать мониторинг обращений только к определенным томам.

Пример работы с FileMon

В качестве примера работы с FileMon можно решить задачу определения места хранения файлов почтовой базы данных Outlook Express. Для этого нужно настроить фильтр следующим образом:

Настройка фильтра FileMon
Настройка фильтра FileMon

Т.е. FileMon будет протоколировать только чтение данных процессом msimn.exe. Для сбора информации достаточно настроить фильтр, проверить, что включено протоколирование (отмечен пункт File – Capture Events) и открыть Outlook Express. Пример окна утилиты с собранными данными показан ниже.

Собраны данные
Собраны данные

Теперь нужно остановить протоколирование и в столбце Path главного окна утилиты найти имя файла базы данных. Например, Входящие.dbx. Двойной щелчок по этой строке откроет Проводник на той папке, где хранятся почтовые базы данных.

 
< Обзор DriveCrypt Plus Pack 3   Начало работы с Flash >

Сервер NTP

Время, полученное с NTP-сервера. Для просмотра должен быть разрешён Java-script.
Время, полученное с Вашего компьютера. Для просмотра должен быть разрешён Java-script.

Доступ к серверу NTP первого стратума
Подробнее

На форуме

Лента RSS

Mobatime - Автору - Рекламодателю - Веб-мастеру - Контакт - История - Наверх
© Владислав Семёнов aka SavageNoName 2003-2016
При любом использовании материалов ссылка на WindowsFAQ.ru обязательна
Сайту 12 лет, 7 месяцев и 12 дней. Форуму 15 лет, 11 месяцев и 25 дней.