Вирішено process monitor як користуватися програмою для стеження за активністю файлів в системі

Дійсно, Process Monitor як і всі продукти Sysinternals, одна з кращих в своєму роді утиліт для моніторингу подій в системі.

З її допомогою легко простежити активність в файлової системі, процесах в пам'яті і реєстрі за допомогою натсраіваемих фільтрів.

Для прикладу розглянемо варіант стеження за файлової активністю додатки.

На початку потрібно відсікти надлишкову інформацію про непотрібних даних, залишивши тільки активність файлової системи.

Для цього клацаємо по кнопках відключення модулів: активності реєстру, мережевої активності, процесів і подій - натискаються кнопки показані на скріншоті.

Даних стало помітно менше, вже є розуміння процесів, але можна зробити ще краще - створюємо настроюється фільтр.

Тисніть комбінацію клавіш Ctrl + L - відкриється вікно фільтра.

Налаштовувати фільтр можна за такими параметрами, які відкриваються в випадаючому меню, наприклад найпопулярніший Path - шлях до потрібного додатка.

Якщо вибрати цей параметр, то Process Monitor стежитиме за файлової активністю (в нашому випадку) вибрану програму.

Для цього в наступному меню вибираємо умови - Contains (містить), не містить, більше, менше і так далі.

У нашому випадку для вказівки шляху до файлу вказуємо:

Path - Contains - шлях до файлу

В останньому полі вибираємо між значеннями Include (включений) або Exclude (виключений), що означає чи будуть результати відображатися або будуть виключені зі звіту.

Кнопка Add додає фільтр в список фільтрів.