procmon を使用して cyvrfsfd の IO をキャプチャする方法

procmon を使用して cyvrfsfd の IO をキャプチャする方法

3766
Created On 07/09/23 13:19 PM - Last Modified 12/25/24 13:03 PM


Objective


  • この記事では、cyvrfsfd の IO をキャプチャするために procmon を正しく設定する方法を示します

Environment


  • Windows
  • プロクモン

Procedure


  1. Procmonを管理者として実行し、アプリケーションを閉じて必要なレジストリエントリを作成します
  2. Regedit.exe を開き、"HKLM\System\CurrentControlSet\Services\Procmon23\Instances\Process Monitor 23 Instance" を見つけます。
  3. 「高度」を「321200」に調整します
  4. 変更がリセットされないようにするには、「Process Monitor 23 Instance」キーを右クリックし、「Permissions...」を選択します。
  5. [Advanced Permissions] を選択します。
  6. [権限]タブで、[追加]を選択します
    • 「Select Principle」を開き、「everyone」と入力します。 「名前の確認」をクリックしてからOKをクリックします
    • 種類: 拒否
    • 適用対象: このキーとサブキー
    • 高度な権限を表示
    • 「値の設定」と「削除」のみ選択
  7. [適用] をクリックして、[Process Monitor 23 インスタンスのセキュリティの詳細設定] と [Process Monitor 23 インスタンスのアクセス許可] の両方を有効にします
  8. 有効にするには、マシンを再起動します
  9. キャプチャを実行するときに、このコマンドラインをAdmin fltmcとして実行することで、高度が戻らなかったことを確認できます
手記:
  • Procmon23 は、この例でインストールされているバージョンです。 インストールされているProcmonのバージョンに応じて、環境に異なる値が表示される場合があります
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000bqKrCAI&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language