Ich verwende derzeit procmon, um ein Problem mit Netzwerkdateien zu beheben. Ein anderer PC im lokalen Netzwerk schreibt kleine „Befehlsdateien“ auf den Zielcomputer, der sie dann verwendet – d. h. sie werden gelesen, verarbeitet und gelöscht.
Es gibt außerdem eine weitere Datei, die einmal pro Sekunde aktualisiert wird durchZielMaschine und von den anderen Netzwerkmaschinen gelesen.
Nach einiger Zeit verlieren die Netzwerkcomputer den Zugriff auf die Datei, die sie vom Zielcomputer lesen. Die Datei wird dauerhaft gesperrt – der Mastercomputer kann sie nicht mehr aktualisieren (Freigabeverletzung). Das Problem scheint damit zusammenzuhängen, dass MsMpEng.exe (Microsoft Security Essentials) beim ersten Erscheinen versucht, eine Befehlsdatei abzurufen, aber ich möchte in Beziehung setzen, was mit den eingehenden Anfragen passiert. Procmon scheint diese nicht anzuzeigen.
Kann ProcMon so konfiguriert werden, dass es Zugriffe auf das lokale Dateisystem von Netzwerkcomputern abfängt? Hängt dies mit dem mysteriösen Block von Ausschlüssen zusammen, die standardmäßig zu neuen Filtern hinzugefügt werden?
Antwort1
von Windows Internals
Standardmäßig startet Procmon im Basismodus und lässt bestimmte Dateisystemoperationen aus, darunter
- I/O zu NTFS-Metadatendateien
- I/O zur Auslagerungsdatei
- Vom Systemprozess generierte E/A
- Vom Prozessüberwachungsprozess generierte E/A.
Um eingehende Dateizugriffe aus dem Netzwerk zu erfassen, müssen Sie die vom Systemprozess generierten E/A anzeigen. Um diese anzeigen zu können, schalten Sie Procmon über das Menü in den erweiterten Modus Filter -> Enable Advanced Output
.