Я пытаюсь автоматизировать использование procmon, и я хотел бы указать произвольные фильтры. Я вижу, что вы можете сделать это из командной строки, загрузив файл .pmc с помощью /loadconfig. Так что я полагаю, что могу создать свой собственный .pmc, а затем запустить procmon.

Однако я не могу понять формат.

Кто-нибудь может дать несколько советов о том, как создать свой собственный файл .pmc? Если нет, есть ли возможность загрузить файл pmf через командную строку (потому что я смог сгенерировать файл pmf через скрипт python)

|источник

1 ответ1

1

Файл PMC - это результат экспорта конфигурации Procmon после ее настройки.

  • Запустить Procmon
  • Настройте свои фильтры
  • Проверьте их, чтобы убедиться, что они работают так, как вы хотите, чтобы они
  • Установите глубину вашей истории на то, что вы хотите; Я предлагаю 1
  • Включить удаление отфильтрованных событий

После того, как все настроено так, как вы хотите, экспортируйте конфигурацию в файл PMC, чтобы сохранить настройки и разрешить их использование в командной строке.

Теперь, при запуске Procmon через командную строку, вам нужно будет использовать этот синтаксис:

Procmon.exe /BackingFile C:\temp\PM.PML /LoadConfig c:\temp\pm.pmc /quiet

Измените диск и путь, очевидно, в соответствии с вашей конкретной средой.

Если вы не используете /quiet , инструмент предложит вам подтвердить фильтры при каждом запуске.

Ресурсы:https://technet.microsoft.com/sysinternals/processmonitor.aspx

Надеюсь это поможет.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .