Hallo und herzlich willkommen zurück,
Heute möchte ich den Blog-Post zum ProcessMonitor fortführen: Link
Wir haben uns ja bereits mit der Oberfläche und den einzelnen Optionen beschäftigt die uns zur Verfügung standen – nun greifen wir den wohl wichtigsten Punkt auf, den ich damals auf später (also heute) verschoben habe: Die Filter.
Wie wir ja schon im Beispiel gesehen haben, produzierten mir 3 Sekunden Logging schon eine Liste von über 20.000 Events – dort nun die interessanten zu finden ist faktisch schlimmer als die Nadel im Heuhaufen. Daher haben wir, wie bereits angesprochen, fein justierbare Filter (Ctrl + L), die wir im ProcMon einsetzen können.
Die Maske ist in 2 Teile aufgegliedert: Oben können wir Filter definieren, unten werden die gesetzten Filter angezeigt.
Über die Listboxen in der oberen Hälfte haben wir viele Eigenschaften von Prozessen, nach denen wir unser Eventlog nach belieben Filtern können:
Architektur, Authentifikations-ID, Kategorie, Kommandozeile, Firma, Datum und Uhrzeit, Beschreibung, Details, Dauer, Ereignisklasse, Pfad zum Image, Integrität, Operation, ID des Aufrufenden Prozesses, Pfad, Prozess-ID, Prozessname, Relativer Name, Ergebnis, Sequenz, Session, TID, Tageszeit, User, Version, Virtualisiert oder nicht.
Diese Eigenschaften können wir dann noch logisch mit dem Wert den wir vorgeben verknüpfen. Dabei stehen uns folgende Möglichkeiten zur Verfügung:
is, is not, less than, more than, begins with, ends with, contains, excludes.
Die dritte Listbox ist prinzipiell offen für Usereingaben, d.h. man kann frei Hand Eingaben für seinen Filter tätigen. Eine sehr nützliche Funktion ist aber trotzdem enthalten, denn die Listbox schlägt vor, welche Einträge zu der jeweiligen Eigenschaft aus der ersten Listbox passen. Hier ein Beispielscreenshot:
Es sei dazu erwähnt, dass das Highlighten prinzipiell genauso funktioniert, nur einige Funktionen weniger zur Verfügung stehen.