Comment utiliser procmon pour capturer les E/S de cyvrfsfd
3762
Created On 07/09/23 13:19 PM - Last Modified 12/25/24 13:03 PM
Objective
- Cet article indique comment définir correctement procmon afin de capturer les E/S de cyvrfsfd
Environment
- Windows
- Procmon
Procedure
- Exécutez Procmon en tant qu’administrateur et fermez l’application pour créer les entrées de registre nécessaires
- Ouvrez Regedit.exe et recherchez « HKLM\System\CurrentControlSet\Services\Procmon23\Instances\Process Monitor 23 Instance »
- Ajustez « Altitude » sur « 321200 »
- Pour éviter de réinitialiser la modification, faites un clic droit sur la touche « Instance Process Monitor 23 » et sélectionnez Autorisations...
- Sélectionnez Autorisations avancées
- Sous l’onglet Autorisations, sélectionnez « Ajouter »
- Ouvrez « Sélectionner le principe » et tapez « tout le monde ». Cliquez sur « Vérifier les noms », puis sur OK
- Type : Refuser
- S’applique à : Cette clé et ses sous-clés
- Afficher les autorisations avancées
- Sélectionnez uniquement « Définir la valeur » et « Supprimer »
- Cliquez sur Appliquer pour que les « Paramètres de sécurité avancés pour l’instance Process Monitor 23 » et « Autorisations pour l’instance Process Monitor 23 » prennent effet
- Redémarrez l’ordinateur pour qu’il prenne effet
- Lors de l’exécution d’une capture, vous pouvez confirmer que l’altitude n’a pas été rétablie en exécutant cette ligne de commande en tant qu’administrateur fltmc
- Procmon23 est la version installée dans cet exemple. Vous pouvez voir une valeur différente dans votre environnement en fonction de la version de Procmon installée