Atualmente, estou usando o procmon para localizar um problema que estou envolvendo em arquivos de rede. Outro PC na rede local grava pequenos arquivos de "comando" na máquina de destino, que os consome, ou seja, são lidos, acionados e excluídos.
Há também outro arquivo que é atualizado uma vez por segundo pela máquina target e lido pelas outras máquinas de rede.
Após a execução por algum tempo, as máquinas da rede perdem o acesso ao arquivo que estão lendo na máquina de destino. O arquivo fica permanentemente bloqueado - a máquina mestre não pode mais atualizá-lo (violação de compartilhamento). O problema parece estar relacionado ao MsMpEng.exe (Microsoft Security Essentials) tentando pegar um arquivo de comando quando ele aparece pela primeira vez, mas eu quero relacionar o que está acontecendo com as solicitações recebidas. Procmon não parece mostrar isso.
O ProcMon pode ser configurado para capturar acessos ao sistema de arquivos local a partir de máquinas de rede? Está amarrado com o misterioso bloco de exclusões que são adicionados aos novos filtros por padrão?
from Windows Internals
By default, Procmon starts in basic mode and omits certain file system operations from being displayed including
- I/O to NTFS metadata files
- I/O to the paging file
- I/O generated by the System process
- I/O generated by the Process Monitor Process.
Para capturar o acesso de arquivos recebidos pela rede, você precisa visualizar a E / S gerada pelo processo do Sistema. Para poder ver isso, mude o Procmon para o Modo Avançado usando o menu Filter -> Enable Advanced Output .