我注意到硬盘使用指示灯疯狂闪烁,而我没有使用这台电脑(几乎从不使用)。我如何记录一段时间内发生的事情?
例如:正在创建/访问/删除/移动/复制哪些文件等,正在使用/访问哪些文件夹或程序。如果外部设备/站点正在进行访问(我确实有云/NAS),请注意,可能是 MAC ID、IP 地址等。我见过许多软件应用程序可以拍摄磁盘使用情况的快照,但我想在没有我(似乎)干预的情况下查看发生了什么。
答案1
如何找出正在创建/访问/删除/移动/复制等的文件
您可以使用进程监控
它实时监控文件系统、注册表、进程和线程活动,并将事件写入日志文件以供日后分析。
介绍
Process Monitor 是一款适用于 Windows 的高级监控工具,可显示实时文件系统、注册表和进程/线程活动。它结合了两个旧版 Sysinternals 实用程序 Filemon 和 Regmon 的功能,并添加了一系列增强功能,包括丰富且无损的过滤、全面的事件属性(如会话 ID 和用户名)、可靠的进程信息、完整的线程堆栈(每个操作均带有集成符号支持)、同时记录到文件等。其独特而强大的功能将使 Process Monitor 成为系统故障排除和恶意软件搜寻工具包中的核心实用程序。
过程监视器功能概述
Process Monitor 包含强大的监控和过滤功能,其中包括:
- 为操作输入和输出参数捕获更多数据
- 非破坏性过滤器允许您设置过滤器而不会丢失数据
- 捕获每个操作的线程堆栈使得在许多情况下能够识别操作的根本原因
- 可靠地捕获进程详细信息,包括图像路径、命令行、用户和会话 ID
- 可针对任何事件属性配置和移动列
- 可以为任何数据字段设置过滤器,包括未配置为列的字段
- 先进的日志记录架构可扩展到数千万个捕获事件和数 GB 的日志数据
- 进程树工具显示跟踪中引用的所有进程的关系
- 本机日志格式保存所有数据,以便在不同的 Process Monitor 实例中加载
- 流程工具提示,方便查看流程图像信息
- 详细工具提示可以方便地访问不适合列的格式化数据
- 可取消搜索
- 所有操作的启动时间记录
下载链接http://download.sysinternals.com/files/ProcessMonitor.zip
来源 Windows Sysinternals进程监视器 v3.32