Monitorer l’activité de Windows avec Process Monitor

Exclure un processus

Process Monitor est un puissant outil de monitoring proposé gratuitement par Microsoft. Il combine les fonctionnalités de 2 outils plus anciens, FileMon et Regmon. Il permet ainsi de surveiller l’activité relative au système de fichiers, aux accès à la base de registre, aux processus / threads en cours, ainsi qu’aux interfaces réseaux.

Process Monitor est devenu un outil incontournable que ce soit pour la résolution d’incidents complexes ou pour l’analyse du comportement d’un système.

Quelques exemples d’utilisation de Process Monitor

Vous pouvez utiliser Process Monitor pour:

  • Déterminer les modifications apportée à la base de registre lors de l’installation d’une application
  • Analyser le déroulement de la séquence de démarrage d’un serveur grâce au Boot Logging
  • Analyser une pile de threads complète afin de déterminer l’origine d’un dysfonctionnement
  • Résoudre les incidents liés au démarrage, à l’installation ou à la désinstallation d’une application
  • Résoudre les incidents liés à la base de registre (permissions et accès)
  • Résoudre les incidents liés aux accès au système de fichiers (permissions et accès)

Comment installer Process Monitor ?

Veuillez tout d’abord télécharger Process Monitor (Win 8 / Win 7 / Vista/ XP) , extraire l’archive et d’exécuter le fichier Procmon.exe

Le premier lancement de Process Monitor

Lorsque Process Monitor est lancé il commence aussitôt à capturer l’activité de votre système. Autant le dire il collecte énormément d’informations ! Plus votre système sera actif, plus vous aurez d’informations. C’est pour cela qu’il est possible de filtrer les informations collectées grâce à ces 5 boutons:

Ces 5 boutons vont en effet permettre de respectivement activer / désactiver l’affichage des informations relatives à la base de registre, à l’activité du système de fichiers, à l’activité réseau, aux processus / threads et aux informations personnalisées.

Si vous souhaitez par exemple savoir quelles sont les clés de registre créées lorsque vous installez une application un peu exotique, vous devez activer uniquement les informations relatives au registre (premier des 5 boutons). Ensuite installez votre application et constatez les changements en temps réel !

Le meilleur VPN au monde

Il est également possible d’exclure des objets précis. Par exemple l’exécutable correspondant à Firefox est un peu trop bavard car l’application est ouverte et vous êtes entrain de télécharger, il suffit de faire un clic droit dessus et de sélectionner Exclude ‘firefox.exe’

Le processus firefox.exe disparait de l’affichage, mais rassurez vous, il est toujours loggé et vous pourrez le réafficher par la suite.

Résoudre un incident avec Process Monitor

Je vous propose de résoudre ensemble un simple incident afin de mieux comprendre l’utilisation de Process Monitor. Dans ce scénario nous allons tenter de résoudre un problème lié à la désinstallation d’une application nommée vLite.

Lorsque je vais dans Ajout/Suppression de programme et que je tente de désinstaller vLite:

J’obtiens le message suivant:

Pourtant l’application est bien présente et fonctionne parfaitement ! Nous allons donc démarrer Process Monitor, puis relancer la désinstallation de vLite.

En fouillant un peu je m’aperçois de quelque chose au niveau de la base de registre. Sur des opérations RegQueryValue nous avons plusieurs NAME NOT FOUND.

Le fichier de désinstallation unins000.exe indiqué dans la base de registre est située dans C:\Program Files\vLite.

Lorsque je vais voir ce répertoire je constate qu’il y a une erreur sur le nom du fichier de désinstallation. En effet le fichier porte le nom unins0000.exe, il y a un 0 en trop!

Je corrige tout de suite cette erreur et je relance la désinstallation. Cette fois tout se déroule correctement.

Pour conclure

L’utilisation de Process Monitor est assez intuitive. ll vous faudra cependant un peu de temps pour vous habituer à l’énorme quantité d’information disponible et savoir appliquer les bons filtres pour retrouver rapidement une information. Mais ensuite cette application vous rendre de nombreux services.

Laisser un commentaire