要让Process Monitor随开机启动记录,可以在Options中选择Enable Boot Logging,但是在WIN10下可能会遇到下面的错误提示:“Unable to write PROCMON23.SYS.Make sure that you have permission to write to the %%SystemRoot%%\System32\Drivers directory.”中文的意思就是说不能把PROCMON23.SYS写到c:\windows]system32\drivers目录里,要求我们确认是否有写入该文件的权限。
权限肯定是有的,只是因为PROCMON23.SYS这个文件已经在dirvers文件夹里了,它是Procmon(即Process Monitor)的驱动程序,因为它已经存在,所以无法再次释放文件进入驱动目录,就出现了那个“Unable to weite PROCMON23.SYS”的错误提示。所以有两种方法:1、强制删除。要简单地在windows里直接删除是不可能的,要么用PE启动后删除,要么试试一些强制删除工具。
2、另一方法是改名,在windows下直接重命名倒是可以的,我就把它改成procmon23.bak,然后再点Enable Boot Logging就可以了,等重启后,那个改名的驱动也可以在直接删除掉。
如果Enable Boot Logging启用,那么Procmon就将在系统刚启动时就开启记录,直到关机或你手动启动procmon,默认启动记录的内容保存在windows下,文件名是Procmon.pmb,如果你手动再启动procmon,会提示你保存之前启动记录的日志。平常默认procmon是用虚拟内存来保存监控日志的,如果系统盘可用空间不大,且虚拟内存设在系统盘就可能出现一些问题,建议虚拟内存设到比较空的分区,或者直接指定一个文件名放在可用空间大的分区来保存日志。
如果嫌日志文件越来越大,包括那个procmon.pmb,后者只能通过先关闭Enable Boot Logging再删除,而日常记录的日志文件,如果不是要求监控抓取所有的事件,比如我只要监控注册表中某个项的变动,可以添加设置过滤器,但这样是不够的,过滤器默认只是让不满足条件的不日志不显示,其它内容还是照样保存不误,所以在设置过滤后,还要在Filter菜单下选中Drop Filtered Events,这样procmon才只保存符合过滤器条件的事件,日志文件的大小就可以接受了。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/1740.html
