Gilt nur ab Windows Vista und höher
- Download Process Monitor von Sysinternals und kopiere die procmon.exe auf den Zielcomputer. Als Zielverzeichnis wähle ich meist "C:\" oder "C:\temp\" wenn genügend Speicherplatz auf der Festplatte vorhanden ist
- Psexec starten und eine Remote-CMD auf dem Zielcomputer öffnen "psexec \\Zielcomputer cmd.exe (Remote cmd öffnen mit Psexec)
- Im Consolenfenster den Pfad auf das Verzeichnis ändern, wo sich die procmon.exe befindet (z.B. "C:\temp")
- Das Logging starten durch den Befehlscode "procmon /backingfile Speicherzielort /quiet /accepteula"
==> procmon /backingfile c:\temp\procmonlog.pml /quiet /accepteula
Im Verzeichnis C:\temp werden nun die Logfiles mit Namen "procmonlog" im Dateityp ".pml" gespeichert - Das Logging beenden durch den Befehlscode "procmon /terminate"
Wichtig hierbei ist, dass nach Eingabe des "/terminate"-Befehls der User einige Sekunden gedult haben muss, bis Procmon sich selbst ordnungsgemäß schließt. Deshalb einen Moment warten, bevor man anfängt die Logdateien zu kopieren um mit der Auswertung anzufangen
Keine Kommentare:
Kommentar veröffentlichen