В настоящее время я использую procmon, чтобы найти проблему с сетевыми файлами. Другой компьютер в локальной сети записывает небольшие «командные» файлы на целевой компьютер, который затем использует их - то есть они считываются, обрабатываются и удаляются.
Существует также другой файл, который обновляется раз в секунду целевым компьютером и читается другими сетевыми машинами.
После некоторого времени работы сетевые машины теряют доступ к файлу, который они читают с целевой машины. Файл становится постоянно заблокированным - мастер-машина больше не может его обновлять (нарушение совместного доступа). Кажется, проблема связана с тем, что MsMpEng.exe (Microsoft Security Essentials) пытается получить командный файл при его первом появлении, но я хочу связать происходящее с входящими запросами. Procmon, кажется, не показывает это.
Можно ли настроить ProcMon для получения доступа к локальной файловой системе с сетевых компьютеров? Это связано с таинственным блоком исключений, которые по умолчанию добавляются в новые фильтры?
from Windows Internals
By default, Procmon starts in basic mode and omits certain file system operations from being displayed including
- I/O to NTFS metadata files
- I/O to the paging file
- I/O generated by the System process
- I/O generated by the Process Monitor Process.
To catch incoming file access from the network, you need to view the I/O generated by the System process. To be able to view that, switch Procmon to Advanced Mode by using the menu Filter -> Enable Advanced Output.