KBBlog

MS Sysadmin and C# developer

sch

Capture procmon à distance

Rédigé par Swisstone Aucun commentaire

Je ne compte plus le nombre de fois où j'ai réalisé des captures procmon à distance, de manière silencieuse. Cela est très pratique car vous pouvez capturer et analyser divers phénomènes étranges sans perturber l'utilisateur final et surtout sans avoir à être présent ! Les méthodes présentées ci-après ne nécessitent donc pas d'interaction avec l'utilisateur.

Lancez procmon sur votre ordinateur, et configurez-le avec les filtres que vous voulez.

Ensuite, exportez la configuration via File -> Export Configuration...

Notez que vous pouvez ignorer cette étape de préparation si vous ne désirez pas personnaliser les filtres pour la capture.

Copiez procmon.exe et le fichier de configuration .PMC (optionnel) quelque part sur le poste distant.

A partir d'ici, 2 méthodes s'offrent à vous pour commencer la capture, la première consiste à utiliser psexec, la seconde utilise les tâches planifiées de Windows.

Méthode 1 - Avec PSExec

Procurez-vous PSExec sur votre ordinateur et lancez la commande suivante (en supposant que le poste sur lequel effectuer la capture s'appelle OrdinateurDistant, et que vous y avez placé Procmon dans c:\temp)

psexec.exe -s -d \\OrdinateurDistant c:\temp\procmon.exe /accepteula /quiet /backingfile c:\temp\capture.pml /loadconfig c:\temp\config.pmc

A partir de maintenant, procmon capture les événements sur le poste distant, et les enregistre dans un fichier nommé capture.pml (d'autre fichiers vont se rajouter, quand la taille de la capture augmente).

Pour arrêter la capture, lancez la commande suivante:

psexec.exe -s -d \\OrdinateurDistant c:\temp\procmon.exe /quiet /terminate

Cela peut prendre quelques instants afin de finaliser l'enregistrement, attendez 1-2 minutes pour être sûr avant de récupérer les fichiers de capture, ou vérifiez que procmon.exe ait bien disparu de la liste des processus sur le poste distant.

Voilà pour la première méthode. Il suffit maintenant de récupérer le/les fichiers .pml et de les ouvrir sur votre poste.

Méthode 2 - Avec des tâches planifiées

Pas besoin d'autre outils que procmon lui-même pour cette seconde méthode:

Placez procmon.exe quelque part sur le poste distant, puis lancez le planificateur de tâches à distance (mmc.exe -> CTRL-M -> Planificateur de tâches)

Créez une nouvelle tâche, puis, dans l'onglet Général, dans le compte à utiliser pour exécuter la tâche, inscrivez Système (doit s'afficher en "Autorite NT\Système").

Ajoutez un déclencheur, puis, au niveau de l'Action, configurez c:\temp\procmon.exe pour le programme (si procmon est dans c:\temp sur le poste distant), au niveau des arguments, inscrivez /accepteula /quiet /backingfile capture.pml /loadconfig c:\temp\config.pmc et définissez c:\temp comme répertoire de travail "Commencer dans".

Créez maintenant une nouvelle tâche similaire, cependant utilisez /quiet /terminate comme paramètres. Cette tâche servira à stopper la capture.

A vous de planifier ces tâches comme bon vous semble. Récupérez ensuite les fichiers PML et ouvrez-les sur votre poste pour analyse.


Attention, quelle que soit la méthode utilisée, n'oubliez pas de tenir compte de l'espace disque consommé par la capture procmon ! ça peut monter assez vite, prévoyez ~10 Go de libre si vous pensez laisser capturer pendant longtemps, ou sur un système très chargé.

Laisser un commentaire

Quelle est la quatrième lettre du mot ecodc ?

Fil RSS des commentaires de cet article