-->

sexta-feira, 3 de abril de 2009

Sysinternals Process Monitor

Uma explicação que estou preparando para um problema curioso (e importante) requer que eu apresente antes mais essa ferramenta do genial Mark Russinovich. Se você acompanha o blog, já leu posts meus sobre outras duas criações dele praticamente indispensáveis: Process Explorer (PEx) e Autoruns.

Process Monitor (PM) é uma ferramenta bem mais técnica. Enquanto é perfeitamente possível mostrar a um leigo como tirar algum proveito de PEx e Autoruns (ainda assim, com ressalvas), para entender o PM você precisa ser pelo menos um power user.



O programa mostra, em tempo real, toda a atividade do Registro, do sistema de arquivos e de rede, indicando que processo/thread é o responsável. E não é pouca coisa. A quantidade de informação captada por segundo é tamanha que muita atividade (principalmente a "burocracia" do NTFS) já é pré-filtrada para tentar minimizar a bagunça. E por default o programa roda em modo Basic, porque o modo Advanced (Filter -> Enable Advanced Output) é ainda mais difícil de assimilar.

Por default, se você não acrescentar nenhum filtro, PM já mostra toda a atividade das suas aplicações e dos processos do Windows. Só o que o Explorer é capaz de fazer em um único segundo já é suficiente para dar um nó no seu juízo, por isso geralmente você vai filtrar para enxergar apenas a atividade de um processo/thread específico.

O básico que você precisa ter em mente para não se perder:
  • Se você não criar nenhum filtro, PM mostra tudo, exceto as exclusões default;
  • Se você criar filtros "exclude", PM continua mostrando tudo, exceto as exclusões default e as suas.
  • Mas se você criar um único filtro "include" que seja, PM inverte seu funcionamento e considera que tudo é "exclude" por default, ou seja, só aparece o que você acrescentar como "include".

Por exemplo, para excluir o Explorer e visualizar todo o resto:



E para enxergar apenas a atividade do Chrome:



Cuidado: PM "lembra" dos filtros criados por você. É aconselhável clicar em RESET antes de criar novos filtros se você não quiser que nada seja excluído do log por acidente.

Dica: Familiarize-se com o menu de contexto do PM. O menu se adapta à linha/coluna onde você clicar com o botão direito, facilitando muito o trabalho de filtragem.




Dica: As opções acessíveis pelos botões não são atalhos para opções presentes no menu e são importantes. Familiarize-se com o efeito de todas elas.



Entender realmente o poder de Process Monitor requer prática e familiaridade com todas as suas opções. Explore o menu principal, o menu de contexto e os botões. Eu não vou nem tentar explicar cada função do programa, até mesmo porque eu só arranho a superfície ainda. Eu prefiro mostrar a utilidade dele através de exemplos práticos que virão em posts futuros. 

2 comentários:

  1. Jefferson, parabéns pelos seus posts... Todos são muito bons e e vão direto ao que interessa.

    ResponderExcluir
  2. Não testei ainda, mas talvez esse programa seja ideal para descobrir qual processo está fazendo o led do HD piscar sem parar, deixando o notebook muito lento. Desconfio do Windows Defender (Vista). Não consegui uma boa identificação com o Process Explorer. Muito menos com o DiskMon (SysInternals também), que alguém recomendou uma vez num fórum. Ele não mostra o nome dos processos.

    ResponderExcluir

Siga as regras do blog ou seu comentário será ignorado.