Procmon: создайте файл pmc через скрипт или загрузите файл pmf через командную строку

1341
tryingToLearn

Я пытаюсь автоматизировать использование procmon, и я хотел бы указать произвольные фильтры. Я вижу, что вы можете сделать это из командной строки, загрузив файл .pmc с помощью / loadconfig. Так что я полагаю, что могу создать свой собственный .pmc, а затем запустить procmon.

Однако я не могу понять формат.

Кто-нибудь может дать несколько советов о том, как создать свой собственный файл .pmc? Если нет, есть ли возможность загрузить файл pmf через командную строку (потому что я смог сгенерировать файл pmf через скрипт python)

0

1 ответ на вопрос

1
Guest

Файл PMC - это результат экспорта конфигурации Procmon после ее настройки.

  • Запустить Procmon
  • Настройте свои фильтры
  • Проверьте их, чтобы убедиться, что они работают так, как вы хотите, чтобы они
  • Установите глубину вашей истории на то, что вы хотите; Я предлагаю 1
  • Включить удаление отфильтрованных событий

После того, как все настроено так, как вы хотите, экспортируйте конфигурацию в файл PMC, чтобы сохранить настройки и разрешить их использование в командной строке.

Теперь, при запуске Procmon через командную строку, вам нужно будет использовать этот синтаксис:

Procmon.exe /BackingFile C:\temp\PM.PML /LoadConfig c:\temp\pm.pmc /quiet 

Измените диск и путь, очевидно, в соответствии с вашей конкретной средой.

Если вы не используете /quiet, инструмент будет запрашивать подтверждение фильтров при каждом запуске.

Ресурсы: https://technet.microsoft.com/sysinternals/processmonitor.aspx

Надеюсь это поможет.

Я предполагаю, что вы имеете в виду `/ quiet`. Scott 7 лет назад 1