Дякуємо за відгук.

ANSWER
Process Monitor — це потужний інструмент із пакета Sysinternals від Microsoft, який дозволяє здійснювати моніторинг файлової системи, Реєстру та активності процесу/потоку в режимі реального часу.

Завантажити й запустити монітор процесу:

1. Завантажити монітор процесів із вебсайту Microsoft Sysinternals (https://docs.microsoft.com/en-us/sysinternals/downloads/procmon).
2. Отримайте завантажений zip-файл і запустіть Procmon.exe.
3. Налаштувати фільтри (необов’язково):

• Коли ви вперше запустите монітор процесів, він негайно починає записувати події. Це може призвести до отримання масивних даних, тому часто корисно налаштувати фільтри, щоб фіксувати лише ті дані, які вас цікавлять.
• Перейдіть до меню Фільтр, виберіть Фільтр... або натисніть Ctrl + L.
• За допомогою діалогового вікна фільтра можна вказати процеси, події або відомості, які слід включити або виключити зі знімка.

4. Почати запис:

• Якщо монітор процесів ще не виконує запис даних, можна почати з комбінації клавіш Ctrl + E або клацнути значок  на панелі інструментів.
• Дозвольте йому працювати стільки часу, скільки необхідно, щоб фіксувати події, що стосуються вашого розслідування.

5. Зберегти знімок:

• Після отримання необхідних даних можна зупинити запис, знову натиснувши Ctrl +E або клацнувши значок.
• Щоб зберегти записані дані, перейдіть до меню Файл і виберіть Зберегти... або натисніть Ctrl + S.
• Виберіть розташування, де потрібно зберегти файл журналу, дайте йому ім’я та виберіть формат. Формат файлу «PML» є вбудованим форматом журналу моніторингу процесів, але за бажанням можна зберегти відфільтровані дані у файлі CSV або XML.
• Клацніть ОК, щоб зберегти журнал.

6. Аналізувати Захоплення:

•  Після збереження журналу можна проаналізувати його, знову відкривши його в моніторі процесів або використовуючи інші інструменти, якщо його експортували до файлу CSV або XML.
• У Process Monitor можна використовувати інструменти та фільтри для навігації записаними даними та пошуку потрібної інформації.