Skip to main content

FileMon para Windows v7.04

Mark Russinovich y Bryce Cogswell

Publicado: noviembre 1, 2006

 

Introducción

Nota: las aplicaciones Filemon y Regmon se han reemplazado por Process Monitor en las versiones de Windows a partir de Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1 y Windows Vista. Filemon y Regmon se mantienen para el soporte técnico de sistemas operativos heredados, incluido Windows 9x.

FileMon supervisa y muestra la actividad del sistema de archivos de un sistema en tiempo real. Sus capacidades avanzadas la convierten en una herramienta eficaz para explorar el modo de funcionamiento de Windows, ver cómo usan las aplicaciones los archivos y las DLL, o realizar un seguimiento de los problemas de configuraciones de archivos de aplicaciones o del sistema. La característica de marca de hora de Filemon le mostrará con precisión cuándo se produce la apertura, la lectura, la escritura o la eliminación, y la columna de estado ofrecerá los resultados. FileMon es tan fácil de usar que se convertirá en un experto en pocos minutos. Empieza a supervisar cuando se inicia y su ventana de resultados se puede guardar en un archivo para verla sin conexión. Tiene una capacidad de búsqueda completa y, si considera que se está produciendo una sobrecarga de información, sólo tiene que configurar uno o más filtros.

FileMon funciona en NT 4.0, Windows 2000, Windows XP y Windows Server 2003 64-bit Edition, Windows 2003 Server, Windows 95, Windows 98 y Windows ME.

Captura de pantalla de Filemon

 

Instalación y uso

Si tiene alguna pregunta o cualquier problema, visite el foro de Filemon de Sysinternals.

Sólo tiene que ejecutar FileMon (filemon.exe). Debe tener privilegios de administrador para ejecutar FileMon. Al iniciarse FileMon por primera vez, supervisará todos los discos duros locales. Los menús, las teclas de acceso rápido o los botones de la barra de herramientas se pueden usar para borrar la ventana, seleccionar y anular la selección de los volúmenes supervisados, incluidos los volúmenes de red (Windows NT/2K/XP), guardar los datos supervisados en un archivo, y filtrar los resultados y buscar en ellos.

Si ha especificado filtros, FileMon le pedirá que confirme los filtros usados de la última sesión cada vez que inicie. Para iniciar FileMon sin ninguna petición, especifique el modificador /q en la línea de comandos. Al iniciarse FileMon, captura automáticamente la actividad del sistema de archivos. Para iniciar la aplicación con la captura deshabilitada, use el modificador /o en la línea de comandos.

A medida que se imprimen eventos de salida, se marcan con un número de secuencia. Si los búferes internos de Filemon se desbordan durante una actividad muy pesada, esto se reflejará en huecos en el número de secuencia.

Cada vez que sale de FileMon, la aplicación recuerda los filtros configurados, la posición de la ventana y los anchos de las columnas de salida.

 

Filtrado

Use el cuadro de diálogo Filter, al que se tiene acceso con un botón de la barra de herramientas o la selección del menú Edit|Filter/Highlight, con el fin de seleccionar qué datos se mostrarán en la vista de lista. El carácter comodín '*' permite buscar cadenas arbitrarias y los filtros no distinguen entre mayúsculas y minúsculas. Sólo se muestran las coincidencias del filtro de inclusión que no estén excluidas mediante el filtro de exclusión. Use ";" para separar varias cadenas en un filtro (por ejemplo, "filemon;temp"). Nota de Windows NT/2000: a causa de la naturaleza asincrónica de E/S de archivos, no es posible filtrar el campo de resultados.

Por ejemplo, si el filtro de inclusión es "c:\temp" y el filtro de exclusión es "c:\temp\subdir", se supervisarán todas las referencias a archivos y directorios de c:\temp, menos las de c:\temp\subdir.

Los caracteres comodín permiten la coincidencia de patrón complejo, que permite hacer coincidir los accesos a archivos específicos mediante determinadas aplicaciones, por ejemplo. El filtro de inclusión "Winword*Windows" hará que FileMon sólo muestre accesos de Microsoft Word a archivos y directorios que incluyan la palabra "Windows".

Use la opción para especificar el resultado de filtro de resaltado que desee resaltar en la ventana de resultados de la vista de lista. Seleccione colores de resaltado con Edit|Highlight Colors.

Las opciones adicionales del filtro seleccionan o anulan la selección de operaciones de lectura, escritura o apertura. En muchos escenarios de solución de problemas, sólo las operaciones de apertura son de interés, por ejemplo.

 

Selección de volúmenes (Windows NT/2K/XP/2K3)

El menú Volumes se puede usar para seleccionar y anular la selección de volúmenes supervisados. Seleccione el elemento de menú Network para supervisar accesos a cualquier recurso de red, incluidos recursos compartidos remotos y accesos de nombre de ruta de acceso UNC a volúmenes remotos.

 

Limitación de resultados

El cuadro de diálogo History Depth, al que se tiene acceso a través del botón de la barra de herramientas o el elemento de menú Edit|History, permite especificar el número máximo de líneas que se recordarán en la ventana de resultados. Se usa un valor de profundidad de 0 para indicar que no hay límite.

 

Búsqueda de resultados

Puede buscar cadenas en la ventana de resultados con el elemento de menú Find (o el botón de la barra de herramientas de búsqueda). Puede repetir la búsqueda hacia delante con la tecla F3 y hacia atrás con Mayús+F3. Para iniciar una búsqueda en una línea determinada de resultados, seleccione la línea deseada haciendo clic en la columna del extremo izquierdo (número de índice). Si no hay ninguna línea seleccionada, se inicia una nueva búsqueda en la primera entrada de la búsqueda hacia abajo y en la última entrada de la búsqueda hacia arriba.

 

Opciones

FileMon puede marcar la hora de eventos o mostrar su duración. El menú Options y el botón de reloj de la barra de herramientas le permiten alternar entre los dos modos. El botón en la barra de herramientas muestra el modo actual con un reloj o un cronómetro. Al mostrar la duración, el campo Time de la ventana de resultados muestra el número de segundos que tarda el sistema de archivos subyacente en atender solicitudes concretas. La entrada de menú Options|Show Milliseconds permite agregar una resolución de milisegundos a las horas presentadas cuando FileMon muestra horas de reloj.

Puede definir FileMon para que siempre se mantenga como una ventana superior con el elemento de menú Options|Always On Top. Además, puede definir FileMon para que no desplace la vista de lista a través del elemento de menú Options|Auto Scroll o el botón correspondiente de la barra de herramientas.

 

Canalizaciones con nombre y buzones

A partir de la versión 4.1, FileMon puede supervisar la actividad del sistema de archivos de canalizaciones con nombre y buzones en Windows NT/2K. Las canalizaciones con nombre se usan habitualmente como mecanismo de comunicación en NT/Win2K por parte de subsistemas centrales como Subsistema de autoridad de seguridad local (LSASS) y DCOM. Los componentes de red como el servicio de explorador también las usan. Para ver la actividad de canalizaciones con nombre con FileMon, seleccione Named Pipes en el menú Drives y realice una operación en algún recurso de red compartido, o bien abra una aplicación como Regedt32 que interactúa con el subsistema de seguridad.

 

Funcionamiento de FileMon

Para el controlador de Windows 9x, el corazón de FileMon está en el controlador de dispositivo virtual, Filevxd.vxd. Se carga dinámicamente y, en su inicialización, instala un filtro de sistema de archivos a través del servicio VxD, IFSMGR_InstallFileSystemApiHook, para insertarse en la cadena de llamada de todas las solicitudes del sistema de archivos. En Windows NT, el corazón de FileMon es un controlador de sistema de archivos que crea y adjunta objetos de dispositivo de filtro a objetos de dispositivo de sistema de archivos de destino para que FileMon consulte todas las solicitudes IRP y FastIO dirigidas a las unidades. Cuando FileMon ve una llamada de apertura, creación o cierre, actualiza una tabla hash interna que sirve como asignación entre los identificadores de archivo internos y los nombres de rutas de acceso de archivos. Siempre que ve llamadas basadas en identificadores, busca el identificador en la tabla hash para obtener el nombre completo de presentación. Si un acceso de identificador hace referencia a un archivo abierto antes del inicio de FileMon, FileMon no podrá encontrar la asignación en su tabla hash y solamente mostrará el valor del identificador.

La información sobre accesos se vuelca en un búfer ASCII que se copia periódicamente en la GUI para que lo imprima en el cuadro de lista.

 

Utilidades relacionadas

Aquí tiene otras herramientas de supervisión disponibles en Sysinternals:

RegMon: monitor del Registro
PortMon: monitor de puertos serie y paralelos
Process Monitor: monitor de procesos y subprocesos
DiskMon: monitor de disco duro
DebugView: monitor de resultados de depuración

 

Información adicional

A continuación se incluyen fuentes adicionales de información sobre el sistema de archivos de Windows 9x:

DDK de Windows 95/98
"Examen del sistema de archivos de capas de Windows 95", Mark Russinovich y Bryce Cogswell, Dr. Dobb's Journal, diciembre de 1995
"Systems Programming for Windows 95", Walter Oney, Microsoft Press, 1996 (obra de lectura obligada para los creadores de VxD)
"Inside the Windows 95 File System", Stan Mitchell, O'Reilly and Associates, 1996

A continuación se incluyen fuentes de información sobre el sistema de archivos de Windows NT/2000 o FileMon:

Inside Windows 2000, 3rd Edition, David Solomon y Mark Russinovich, 2000
"Examen del sistema de archivos de Windows NT", Mark Russinovich y Bryce Cogswell, Dr. Dobb's Journal, febrero de 1997
"Análisis de las utilidades de NT", Windows NT Magazine, febrero de 1999.
"Windows NT File System Internals", Rajeev Nagar, O'Reilly and Associates, 1997

 

Artículos de Filemon de Microsoft KB

Los siguientes artículos de Microsoft KB hacen referencia a Filemon para el diagnóstico o la solución de problemas:

830903: Un archivo de una carpeta de red se abre como de sólo lectura o devuelve un mensaje de error en el que se indica que no se puede reconocer el tipo de archivo
319844: ACC2002: Mensaje de error: El componente ActiveX no puede crear el objeto
830761: Prácticas recomendadas para implementar aplicaciones de Visual Basic 6.0
837932: Los ID de evento 2108 y 1084 se han producido durante una replicación entrante de Active Directory en Windows 2000 Server y Windows Server 2003
819612: FIX: Rendimiento lento cuando el evaluador de capacidades de explorador se elimina de la caché
286198: HOWTO: Realizar el seguimiento de errores "Permiso denegado" en archivos DLL
308940: HOWTO: Solucionar el error 1928: "Error al registrar la aplicación COM+"
814774: HOWTO: Solucionar problemas de implementación de sitio en Microsoft Content Management Server 2002
198038: INFO: Herramientas útiles para cuestiones de paquete y de implementación
319440: Retrasos de inicio de sesión a través de vínculos lentos si no se concede el bloqueo para el archivo de directivas
260513: PRB: Se produce un error cuando instala productos de Visual Studio
306269: PRB: Error 80004005: "El motor de base de datos Microsoft Jet no puede abrir el archivo '(desconocido)'
306386: PRB: FileMon muestra que DAO360.dll no puede cargar MSJet49.dll, MSJet48.dll y otros archivos MSJetxx.dll
243583: PRB: Mib.bin provoca un error en la instalación de Visual Studio
310586: La instancia de MSSearch de Exchange no se conecta en ningún clúster y se registran los Id. de evento 3055 y 10006
555069: Las 10 configuraciones de seguridad potencialmente problemáticas para Microsoft Windows XP Professional Edition y Microsoft Windows Server 2003.
196453: Solucionar problemas relacionados con los errores de inicio de NTVDM y WOW
318746: XADM: Mensaje de error: Error 123: El nombre de archivo, directorio o etiqueta del volumen no es válido
296136: XADM: Los mensajes de identificador de eventos 3036 y 3026 aparecen al llenar el almacén de buzones
830075: Winmgmt.exe usa más recursos de CPU de lo esperado
867651: No puede agregar un certificado TLS a un equipo que ejecuta Office Live Communications Server 2003
319844: Aparece el mensaje de error "El componente ActiveX no puede crear el objeto" cuando se usa Access
Descargar Filemon (280 KB)


Microsoft está realizando una encuesta en línea para comprender su opinión del sitio web de. Si decide participar, se le presentará la encuesta en línea cuando abandone el sitio web de.

¿Desea participar?