J'utilise actuellement procmon pour résoudre un problème lié aux fichiers réseau. Un autre PC du réseau local écrit de petits fichiers de "commande" sur la machine cible, qui les consomme ensuite - c’est-à-dire qu’ils sont lus, traités et supprimés.
Un autre fichier est également mis à jour une fois par seconde par la machine cible et lu par les autres machines du réseau.
Après avoir fonctionné pendant un certain temps, les ordinateurs du réseau perdent l'accès au fichier qu'ils lisent à partir de l'ordinateur cible. Le fichier est définitivement verrouillé - la machine principale ne peut plus le mettre à jour (violation de partage). Le problème semble être lié au fait que MsMpEng.exe (Microsoft Security Essentials) tente de récupérer un fichier de commande lorsqu’il apparaît pour la première fois, mais je souhaite relier ce qui se passe aux demandes entrantes. Procmon ne semble pas montrer cela.
ProcMon peut-il être configuré pour intercepter les accès au système de fichiers local à partir de machines réseau? Est-il lié au mystérieux bloc d'exclusions qui sont ajoutés aux nouveaux filtres par défaut?
Réponses:
Pour capturer l'accès aux fichiers entrants à partir du réseau, vous devez afficher les E / S générées par le processus système. Pour pouvoir visualiser cela, basculez Procmon en mode avancé en utilisant le menu
Filter -> Enable Advanced Output.la source