[Sysinternals] 프로세스 모니터

안녕하세요. 웬디입니다.

 

출퇴근 시간에도 숨이 턱턱 막히는 2024년 8월 3째주입니다. 이 무더운 날씨에 건강에 유의하세요.

 

오늘은 프로세스 모니터(Process Monitor, procmon)에 대해 알아보려고 합니다. Microsoft는 Windows 시스템을 진단하고 모니터링하여 문제를 해결하는 데 도움을 주기 위해 Sysinternals라는 시스템 유틸리티 모음을 제공합니다. 이 모음에는 유용한 많은 도구가 포함되어 있으며, 그 중 프로세스 모니터는 애플리케이션이나 OS의 내부 작동을 살펴보는 데 훌륭한 도구입니다. 프로세스 모니터는 애플리케이션 프로세스와 상호 작용하는 모든 이벤트들을 볼 수 있습니다.

 

실행 

우선 procmon을 실행합니다.

1. Sysinternals Suite을 다운로드해서 압축을 해제하세요.

2. procmon64.exe를 실행합니다. procmon64.exe는 실행하자 마자 레코딩을 시작합니다.

procmon.exe 실행 화면

레코딩을 멈추고 지우개로 화면을 지우세요.

필터링

이벤트를 필터링하여 선택적 이벤트만 볼수 있습니다. 예를 들어 chrome.exe 프로세스만 필터링한다면, Filter > Filter를 선택하여 아래와 같은 창을 엽니다. 'Process Name is chrome.exe then include'를 Add 한 후 적용하면 chrome.exe 프로세스에 관련된 이벤트만 볼 수 있습니다. 기본 설정으로 되돌아 가고 싶으면 Reset 을 누르세요. 

 

프로세스 이름 뿐만 아니라 필터링의 대상은 다음처럼 다양하므로 조합하여 사용할 수 있습니다.

 

 

 Options > History Depth 를 실행 중 유지되는 전체 이벤트 수를 제한합니다. Limit to:"를 선택하고 원하는 파일 크기를 200MB에서 500MB 사이로 지정합니다(예: 300MB로 제한). 

 

로그 저장

이벤트 데이터를 저장할 장소로 가상 메모리 또는 파일을 지정할 수 있습니다. 우리는 File > Backing File를 선택하여 로그 백업 파일로을 지정하도록 합니다.

 

기본 설정 또는 필터링을 저장하고 이벤트 캡처를 시작합니다.

결론

procmon은 파일, 레지스트리, 프로세스 및 네트워크 이벤트를 캡처합니다. 파일 시스템과 관련된 이벤트를 찾을 경우, 그림처럼 Event Class is File System인 조건을 추가하거나 Operation is WriteFile 와 같은 특정 이벤트 작업을 설정할 수 있습니다.

 

 

 

이를 통해 디스크 I/O 가 많은 프로세스를 확인하거나 특정 프로세스가 로그 파일을 어디에 쓰고 있는지, 설정 파일을 어디서 읽는지 등을 파악할 수 있습니다.