FileMon pour Windows v7.04

Par Mark Russinovich et Bryce Cogswell

Paru le 01 novembre 2006

Introduction

Remarque : Filemon et Regmon ont été remplacés par Process Monitor sur les versions de Windows depuis Windows 2000 SP4, Windows XP SP2, Windows Server 2003 SP1 et Windows Vista. Filemon et Regmon ont été conservés pour la prise en charge de système d'exploitation d'ancienne génération, notamment Windows 9x.

FileMon surveille et affiche l'activité du système de fichiers sur un système en temps réel. Il est doté de fonctionnalités avancées qui le transforment en un outil puissant d'exploration du fonctionnement de Windows, d'observation de l'utilisation des fichiers et DLL par les applications ou de suivi des problèmes dans les configurations de fichiers système ou d'application. La fonctionnalité d'horodatage de Filemon indique avec précision le moment de chaque ouverture, lecture, écriture ou suppression, ainsi que le résultat de l'opération dans une colonne d'état. FileMon est si facile à utiliser qu'il vous suffira de quelques minutes pour le maîtriser. Il commence la surveillance dès le démarrage, et sa fenêtre de résultat peut être enregistrée dans un fichier pour l'affichage hors ligne. Il est doté de fonctionnalités de recherche complètes, et si vous êtes surchargé d'informations, vous pouvez tout simplement configurer un ou plusieurs filtres.

FileMon fonctionne sous NT 4.0, Windows 2000, Windows XP, les éditions 64 bits de Windows XP et de Windows Server 2003, Windows Server 2003, Windows 95, Windows 98 et Windows ME.

 Haut de page

Installation et utilisation

Si vous avez des questions ou des problèmes, visitez le forum Sysinternals Filemon.

Exécutez simplement FileMon (filemon.exe). Vous devez disposer de privilèges d'administrateur pour exécuter l'utilitaire FileMon. Lorsque vous démarrez FileMon pour la première fois, il surveille tous les disques durs locaux. Les menus, raccourcis clavier ou boutons de la barre d'outils peuvent être utilisés pour désactiver les options de la fenêtre, sélectionner et désélectionner des volumes surveillés, y compris dans un réseau, enregistrer les données surveillées dans un fichier et filtrer et rechercher des résultats.

Si vous avez spécifié des filtres, FileMon vous invite à confirmer les filtres utilisés lors de la dernière session chaque fois que vous le démarrez. Pour démarrer FileMon sans invite, vous devez spécifier le commutateur /q sur la ligne de commande. Lorsque FileMon démarre, il capture automatiquement l'activité du système de fichiers. Pour le démarrer sans la fonction de capture, utilisez le commutateur /o sur la ligne de commande.

Lorsque les événements sont enregistrés dans les résultats, ils sont numérotés en séquence. Les éventuels débordements des tampons internes de Filemon survenus durant les périodes d'activité intense sont reflétés par des écarts dans les numéros de séquence.

Chaque fois que vous quittez FileMon, les filtres que vous avez configurés, la position de la fenêtre et la largeur des colonnes de résultat sont mémorisés.

 Haut de page

Filtrage

Accédez à la boîte de dialogue Filter, à l'aide d'un bouton de barre d'outils ou à partir du menu Edit|Filter/Highlight et sélectionnez les données à afficher en mode liste. Le caractère générique « * » correspond aux chaînes arbitraires et les filtres sont sensibles à la casse. Seuls les résultats indiqués dans le filtre d'inclusion mais qui ne sont pas exclus du filtre d'exclusion, s'affichent. Utilisez « ; » pour séparer plusieurs chaînes dans un filtre (par ex. « filemon;temp »). Remarque pour Windows NT/2000 : du fait de la nature asynchrone de l'E/S des fichiers, le filtrage n'est pas possible dans le champ de résultats.

Par exemple, si le filtre d'inclusion est c:\temp, et que le filtre d'exclusion est c:\temp\subdir, toutes les références aux fichiers et aux répertoires sous c:\temp sont surveillées, à l'exception des références aux fichiers et répertoires sous c:\temp\subdir.

Les caractères génériques permettent la recherche de modèles complexes, permettant la recherche d'accès aux fichiers spécifiques par des applications spécifiques, par exemple. Avec le filtre d'inclusion « Winword*Windows », Filegmon afficherait uniquement les accès par Microsoft Word aux fichiers et répertoires comprenant le mot « Windows ».

Utilisez le résultat spécifique du filtre de surbrillance que vous souhaitez mettre en surbrillance dans la liste de résultats affichée. Sélectionnez les couleurs de surbrillance avec Edit|Highlight Colors.

D'autres options de filtre permettent de sélectionner ou désélectionner les opérations de lecture, d'écriture ou d'ouverture. Dans de nombreux scénarios de dépannage, seules les opérations d'ouverture présentent un intérêt, par exemple.

 Haut de page

Sélection de volumes (Windows NT/2K/XP/2K3)

Le menu Volumes permet de sélectionner et désélectionner des volumes surveillés. Sélectionnez l'élément menu Network pour surveiller les accès aux ressources réseau, y compris les partages à distance et les accès des noms de chemin UNC aux volumes à distance.

 Haut de page

Limitation des résultats

La boîte de dialogue History Depth, accessible à l'aide du bouton de la barre d'outils ou de l'élément de menu Edit|History, vous permet de spécifier le nombre maximal de lignes à mémoriser dans la fenêtre de résultats. Une profondeur de 0 signifie qu'il n'existe pas de limite.

 Haut de page

Recherche des résultats

Vous pouvez rechercher des chaînes dans la fenêtre de résultats à l'aide de l'élément de menu Find (ou du bouton de recherche de la barre d'outils). Vous pouvez reprendre la recherche en avant en appuyant sur la touche F3 et en arrière en appuyant sur les touches Maj + F3. Pour démarrer une recherche à partir d'une ligne particulière dans les résultats, sélectionnez la ligne en cliquant sur la colonne de gauche (le numéro d'index). Si aucune ligne n'est sélectionnée, la nouvelle recherche démarre à la première entrée pour une recherche vers le bas, et à la dernière entrée pour une recherche vers le haut.

 Haut de page

Options

FileMon peut indiquer la date des événements ou afficher leur durée. Le menu Options et le bouton d'horloge de la barre d'outils vous permettent de basculer entre les deux modes. Le bouton de la barre d'outils affiche le mode actuel à l'aide d'une horloge ou d'un chronomètre. L'affichage du champ d'heure dans les résultats permet d'afficher le nombre de secondes qu'il a fallu au système de fichiers sous-jacent pour traiter des requêtes particulières. L'entrée du menu Options|Show Milliseconds vous permet d'ajouter les millisecondes à l'heure présentée lorsque FileMon affiche l'heure de l'horloge.

Vous pouvez définir FileMon de sorte à toujours l'afficher au-dessus des fenêtres à l'aide de l'élément de menu Options|Always On Top. De plus, vous pouvez définir FileMon de sorte à ne jamais faire défiler le mode de liste à l'aide de l'élément de menu Options|Auto Scroll ou du bouton de barre d'outils correspondant.

 Haut de page

Canaux nommés et serveurs de messagerie

Depuis la version 4.1, FileMon peut surveiller l'activité du système de fichiers des canaux nommés et des serveurs de messagerie sous Windows NT/2K. Les canaux nommés sont en général utilisés comme mécanisme de communication dans NT/Win2K par les sous-systèmes de base, tels que LSASS (Local Security Authority Subsystem), et ils sont utilisés par DCOM. Ils sont également utilisés par les composants réseau, tels que le service Explorateur. Pour voir l'activité des canaux nommés avec FileMon, sélectionnez Named Pipes dans le menu Drives et exécutez une opération sur une ressource réseau partagée, ou ouvrez une application, telle que Regedt32 qui interagit avec le sous-système de sécurité.

 Haut de page

Fonctionnement de FileMon

Pour le pilote Windows 9x, le cœur de FileMon est situé dans le pilote de périphérique virtuel, Filevxd.vxd. Celui-ci est chargé de façon dynamique, et lors de son initialisation, il installe un filtre de système de fichiers à l'aide du service VxD, IFSMGR_InstallFileSystemApiHook, pour s'insérer sur la chaîne d'appel de toutes les requêtes du système de fichiers. Sous Windows NT, le cœur de FileMon est un pilote de système de fichiers qui crée et attache des objets de périphérique de filtre aux objets de périphérique de système de fichiers cible, de sorte que FileMon puisse voir toutes les requêtes IRPs et FastIO adressées aux lecteurs. Lorsque FileMon détecte un appel d'ouverture, de création ou de fermeture, il met à jour une table de hachage interne servant de mappage entre les descripteurs de fichiers internes et les noms de chemin des fichiers. Lorsqu'il détecte des appels basés sur des descripteurs, il recherche le descripteur dans la table de hachage pour obtenir le nom complet et l'afficher. Si un accès basé sur un descripteur référence un fichier ouvert avant le démarrage de FileMon, FileMon ne trouve pas le mappage dans sa table de hachage et présente tout simplement la valeur du descripteur à la place.

Les informations sur les accès sont vidées dans un tampon ASCII qui est régulièrement copié dans l'interface utilisateur en vue de son affichage dans la zone de liste.

 Haut de page

Utilitaires associés

Les outils de surveillance suivants sont également disponibles auprès de Sysinternals :

• PortMon : moniteur de port série et parallèle
• Process Monitor : moniteur de processus et de threads
• DiskMon : moniteur de disque dur
• DebugView : moniteur des résultats de débogage

 Haut de page

Pour en savoir plus

Vous trouverez ci-dessous des sources d'informations complémentaires sur le système de fichiers Windows 9x :

• DDK de Windows 95/98
• « Examining the Windows 95 Layered File System », par Mark Russinovich et Bryce Cogswell, Dr. Dobb's Journal, décembre 1995.
• "Systems Programming for Windows 95 », par Walter Oney, Microsoft Press, 1996 (un incontournable pour les rédacteurs VxD).
• "Inside the Windows 95 File System », par Stan Mitchell, O'Reilly and Associates, 1996.

Les références suivantes sont des sources d'informations sur le système de fichiers Windows NT/2000 et/ou *FileMon *:

• Inside Windows 2000, 3rd Edition par David Solomon et Mark Russinovich, 2000
• « Examining the Windows NT File System », par Mark Russinovich et Bryce Cogswell, Dr. Dobb's Journal, février 1997.
• "Windows NT File System Internals » par Rajeev Nagar, O'Reilly and Associates, 1997

 Haut de page

Articles de la base de connaissances Microsoft sur Filemon

Ces articles de la base de connaissances font référence à Filemon pour le diagnostic ou le dépannage de divers problèmes :

• 830903 : Un fichier dans un dossier réseau s'ouvre en lecture seule ou renvoie un message d'erreur indiquant que le type de fichier ne peut être reconnu.
• 319844 : ACC2002 : Message d'erreur : Le composant ActiveX ne peut pas créer l'objet
• 830761 : Méthodes conseillées pour le déploiement d'applications Visual Basic 6.0
• 837932 : L'ID d'événement 2108 et l'ID d'événement 1084 surviennent pendant la réplication entrante d'Active Directory dans Windows 2000 Server et dans Windows Server 2003.
• 819612 : CORRECTIF : Performances ralenties lorsque l'évaluateur des capacités de l'explorateur est supprimé du cache
• 286198 : COMMENT : Suivre des erreurs d'« Autorisation refusée » sur les fichiers DLL
• 308940 : COMMENT : Dépanner l'erreur 1928 « Erreur lors de l'inscription de l'application COM+ »
• 814774 : COMMENT : Dépanner les problèmes de déploiement de site dans Microsoft Content Management Server 2002
• 198038 : INFORMATIONS : Outils utiles pour les problèmes de package et de déploiement
• 319440 : Délais d'ouverture de session sur des liaisons lentes si Oplock n'est pas accordé pour le fichier de stratégie.
• 260513 : PROBLÈME : Une erreur survient lorsque vous installez les produits Visual Studio
• 306269 : PROBLÈME : Erreur 80004005 Le Moteur de base de données Microsoft Jet ne peut pas ouvrir le fichier « (inconnu) ».
• 306386 : PROBLÈME : FileMon indique que DAO360.dll ne parvient pas à charger MSJet49.dll, MSJet48.dll et d'autres fichiers MSJetxx.dll.
• 243583 : PROBLÈME : Mib.bin entraîne l'échec de l'installation de Visual Studio.
• 310586 : L'instance Exchange MSSearch ne se met pas en ligne sur un cluster et les ID d'événement 3055 et 10006 sont enregistrés
• 555069 : Les 10 principaux paramètres de sécurité problématiques potentiels pour Microsoft Windows XP Professionnel et Microsoft Windows Server 2003.
• 196453 : Dépannage des erreurs de démarrage de NTVDM et WOW
• 318746 : XADM : Message d'erreur : Erreur 123 : Syntaxe du nom de fichier, de répertoire ou de volume incorrecte
• 296136 : XADM : Des messages d'ID d'événement 3036 et 3026 surviennent lors du remplissage de la banque de boîtes aux lettres.
• 830075 : Winmgmt.exe utilise plus de ressources d'UC que prévu.
• 867651 : Vous ne pouvez pas ajouter un certificat TLS à un ordinateur qui exécute Office Live Communications Server 2003.
• 319844 : Un message d'erreur « Le composant ActiveX ne peut pas créer l'objet » s'affiche lorsque vous utilisez Access

 Haut de page