Windows FileMon

[WinSearch]

Den Windows FileMon gibt es leider nicht mehr. Der soll durch den ProcessMonitor ersetzt worden sein. Wie kann ich aber im ProcessMonitor ein Laufwerk überwachen? Ich möchte einfach ein Laufwerk, sagen wir D: überwachen und sehen welcher Process dort welches File liest oder schreibt. Mit dem FileMon ist das so überhaupt kein Problem gewesen. Filter, fertig, und das gewünschte Ereignis wurde protokolliert. Beim ProcessMonitor kann ich zwar sehen welcher Process da gerade Daten liest oder schreibt, aber ich kann nicht sehen welche Daten das sind und schon gar nicht kann ich das protokollieren. Weiß jemand wie das geht oder kennt jemand eine Alternative?

 

[Wolf.J]

---

Habe hier noch ein Zip gefunden.
Ist allerdings schon 2009 oder so ersetzt worden.

 

[runit]

Ich schlage vor, Du schaust mal hier näher
https://www.google.com/search?client=firefox-b-d&q=laufwerk+monitoring

 

[WinSearch]

Danke für die tipps. Filemon startet nicht und meint es sei ersetzt worden. Na das ist ja mal interessant programmiert worden. Das andere Werkzeug scheint irgendwie an meinen Bedarf vorbei zu gehen. too much, to expensive...

 

[Gast10191]

Könnte dir vielleicht die Sysinternal Suite von Microsoft weiterhelfen ?
Process Monitor - Windows Sysinternals | Microsoft Docs
Windows Sysinternals - Windows Sysinternals | Microsoft Docs

 

[Thomas62]

Könnte dir vielleicht die Sysinternal Suite von Microsoft weiterhelfen ?
Process Monitor - Windows Sysinternals | Microsoft Docs
Windows Sysinternals - Windows Sysinternals | Microsoft Docs

Lies mal seine Startbeitrag #1 aufmerksam

 

[Gast10191]

File-Monitor in den Sisynternals Suite die ich verlinkt habe.
Hab aus Versehen den Prozess Monitor genommen.
Du hast aber Recht,es wurde mit dem Prozess Monitor ausgetauscht.
Doch lies mal meinen Link über den Prozess Monitor und ich denke,da ist alles enthalten,was sich der TE wünscht.
FileMon for Windows - Windows Sysinternals | Microsoft Docs

 

[Thomas62]

File-Monitor in den Sisynternals Suite die ich verlinkt habe.
Hab aus Versehen den Prozess Monitor genommen.
Du hast aber Recht,es wurde mit dem Prozess Monitor ausgetauscht.
Doch lies mal meinen Link über den Prozess Monitor und ich denke,da ist alles enthalten,was sich der TE wünscht.
FileMon for Windows - Windows Sysinternals | Microsoft Docs

Klick ich auf deinen Link bekomme ich das zu sehen.
Ich habe es extra Rot unterstrichen das es den FileMon nicht mehr gibt.

Liest du das ..... ?

Vielleicht kann man den Process Monitor dazu überreden dem TE seinen Wunsch es mitzuprotokollieren

per CMD umzusetzen. Denke mal da muss jemand ran der sich mit der Thematik des Batch erstellen auskennt.

lg

 

[Gast10191]

Thomas ,das hab ich ja im Beitrag gleich über dem Deinen,geschrieben !
Ist ersetzt worden durch den Prozess Monitor.
Der erscheint mir aber recht erweitert und hat möglichereise die Funktionen des alten File Monitors übernommen.
Darum hab ich das ja geschrieben. Man muss die Funktionen nur mal durchlesen.
Ich selbst nutze das Tool nicht,kann also nicht mehr dazu sagen.
Es war ja auch die Grundidee, dass sich der TE die Sache mal ansiht
PS.
Klickst du in meinem Link auf den blauen Filemonitor,wirst du umgeleitet auf den Download von Prozess Manager.
Und weil da auch deutlich steht "replaced", nehme ich an dass di Filemonitor Funktionen nun dort integriert wurden.

 

[Thomas62]

TE nutzt doch schon den ProcessMonitor !

" Wie kann ich aber im ProcessMonitor ein Laufwerk überwachen? Ich möchte einfach ein Laufwerk, sagen wir D: überwachen und sehen welcher Process dort welches File liest oder schreibt. "
+
" Beim ProcessMonitor kann ich zwar sehen welcher Process da gerade Daten liest oder schreibt, aber ich kann nicht sehen welche Daten das sind und schon gar nicht kann ich das protokollieren. "

Also sind sämtliche Links vorm Ar...h .

 

[Gast10191]

Ob der File/Prozess Monitor von Windows gleich war,wie heute in den Sysinternals weiss ich nicht.
Lass doch einfach erst mal den TE antworten,was er zu meiner Idee zu sagen hat.

 

[WinSearch]

Hallo Leute,
Danke für Eure Beiträge. Aber wie schon gesagt wurde: Den Prozessmonitor verwende ich bereits und der Funktionsumfang entspricht nicht einmal ansatzweise dem alten Registry-Monitor oder dem alten File-Monitor. Ich habe zumindest noch keine einzige Internet-Seite gefunden, die erklären würde, wie die alten Filter- und Anzeigeoptionen im Process-Monitor wieder zu Tage gefördert werden können.

Der Registry-Monitor, auch wenn ich den jetzt gerade nicht brauche, hat jeden Zugriff auf die Registry dokumentiert (open, close, read, write, update). Genauso hat es der File-Monitor für den Zugriff auf Datenträger gemacht. Interessant dabei ist auf der einen Seite die umfangreiche Filtermöglichkeit, ein Logging der Ereignisse, Speichern des Logs und die Zuordnung zu Handles bzw. Prozessen.

Mit dem File-Monitor war es z. B. möglich einen Filter zu setzen:

Zeige nur einen Zugriff auf Laufwerk E: an. Ignoriere alles andere.
Zeige nur einen Zugriff auf Laufwerk E uvon SRVCHOST.EXE an.

Das habe ich im Process-Monitor noch nicht gefunden.

Insbesondere wurde dann auch angezeigt was das für ein Zugriff war: Dateiname, Dateioperation.

Ich finde diese Funktionalität im Process-Monitor nicht.

 

[Gast10191]

Ok,da bleibt mir nun nichts mehr zu sagen. Du hast auch die aktuellste Version "v3.60" installiert ?

 

[Thomas62]

How do I capture a process monitor log?
Collect A System Event Log

1. Close all unused applications.
2. Run Procmon.exe. Logging will start automatically.
3. Minimize Process Monitor and reproduce the issue.
4. Maximize Process Monitor and uncheck the option File -> Capture Events. ...
5. Select the menu item File -> Save.
6. Select All Events in the Events to save section.

How to use Sysinternals Process Monitor and Process Explorer to Troubleshoot SharePoint – ChadSchultz.com

https://www.google.com/search?newwi...&ved=0ahUKEwjJiM2Z0KftAhUCKuwKHQbGDBAQ4dUDCAw

 

[WinSearch]

Na klar... Ich habe gerade mal probiert FILEMON zu überreden im Kompatibilitätsmodus zu starten. Aber er lässt sich nicht überreden. Er bleibt dabei, dass er einen Nachfolger hat und man möge diesen verwenden.

Beitrag automatisch zusammengeführt: 29.11.2020

How do I capture a process monitor log?
Collect A System Event Log

1. Close all unused applications.
2. Run Procmon.exe. Logging will start automatically.
3. Minimize Process Monitor and reproduce the issue.
4. Maximize Process Monitor and uncheck the option File -> Capture Events. ...
5. Select the menu item File -> Save.
6. Select All Events in the Events to save section.

How to use Sysinternals Process Monitor and Process Explorer to Troubleshoot SharePoint – ChadSchultz.com

https://www.google.com/search?client=firefox-b-d&q=how+to+logging+process+monitor+systernals+live

Danke, das ist zwar nett. Aber der eigentliche Wunsch wird damit nicht befriedigt. Solange ich keinen Weg kenne wie ich den Zugriff auf einen Datenträger filtern kann und ggf. den Filter erweitern kann um nur jene Zugriffe zu filtern, die durch einen Prozess oder Handle ausgelöst werden, hilft mir die generelle Möglichkeit Ereignisse mit dem Process Monitor zu sichern, nicht wirklich weiter. Das Tool hat einfach einen ganz anderen Ansatz. Es geht vom Process aus. FileMon und RegistryMon hatten den Fokus auf der Registry bzw. auf Datenträger und sind dann umgekehrt vorgegangen, haben also die Registry bzw. Datenträger überwacht. Das ist ein komplett anderer Ansatz.

 

[Thomas62]

dann hilf dir selbst . Frag den Hersteller von Windows !

 

[WinSearch]

Windows 10 hat den Leistungsmonitor. Im Leistungsmonitor kann ich die Datenträgeraktivität anzeigen lassen. Das ist in etwa ähnlich was der Filemonitor früher machte. Nur kann ich im Leistungsmonitor weder ein Log mitlaufen lassen noch kann ich irgendwas filtern. Mein eigentliches Ziel ist herauszufinden welcher Prozess meine HDDs aus dem SPINDOWN wieder aufwecken. Ja, natürlich habe ich schon sämtliche, das ist eine sehr umfangreiche Anleitung und ganz viele Stellen sind es gewesen, Einstellungen kontrolliert und geändert, welche die HDDs wieder hochschnellen lassen. Mir fehlt jetzt einfach das Event. Das würde man sicherlich mit einem File-Monitor finden.

Beitrag automatisch zusammengeführt: 29.11.2020

dann hilf dir selbst .

REALLY? - das war ja ein produktiver Beitrag :-(

 

[Thomas62]

Schon auch nur mal ansatzweise dran gedacht den Programmierer

von FileMon zu fragen ob er dir hilft ? Die meisten Antworten sogar .

WOW wäre ne möglichkeit.

 

[WinSearch]

Schon auch nur mal ansatzweise dran gedacht den Programmierer

von FileMon zu fragen ob er dir hilft ? Die meisten Antworten sogar .

WOW wäre ne möglichkeit.

Drollig Auch dieser Beitrag hat mit dem Thema nichts zu tun. Es muss Sonntag sein - Du glaubst doch nicht ernsthaft, dass der Microsoft-Entwickler (zunächst war er nicht bei Microsoft angestellt), ist da eine große Nummer, eine derart popelige Frage eines Anwenders aus Deutschland beantwortet? Har, har das ist wirklich drollig Ich hätte die Frage nicht gestellt, wenn ich nicht schon längst auf eine Antwort gekommen wäre. Es wird auf die interne Hilfe vom Process Monitor verwiesen. Nachweislich - oder hat es jetzt doch jemand herausgefunden - gibt es die von mir gewünschte Funktionalität im Process Monitor nicht und der File Monitor funktioniert nicht mehr. Ich schlage vor, falls Deine Antworten nichts mehr mit der eigentlichen Fragestellung zu tun haben, lassen wir das bleiben. Wenn Du magst kannst Du ja gerne noch eine PM senden. Doch mit meiner Frage hat das mal überhaupt nichts mehr zu tun.

WIKI: Mark Russinovich – Wikipedia

EDIT: Der Mann ist CTO - Leitender Angestellter - der hat glaube ich andere Dinge zu tun als Fragen zum Process Monitor zu beantworten Äh und ja, er ist auch der Programmierer vom File Monitor

 

[Thomas62]

Du es war nur eine Idee . Habe deswegen nicht seinen Werdegang angesehen.

Und warum sollte er nicht Antworten ? Evtl. wäre es für ihn ein Anreiz diese Funktion

in den ProcesMonitor mit einzubauen nach der du ja suchst.