FileMon è un’applicazione comodissima e facile da usare per il monitoraggio, in tempo reale, delle attività del sistema operativo. Intercetta e visualizza tutte le operazioni compiute dal vostro sistema Windows, ad esempio i file e le DLL richieste da una determinata applicazione attiva nel vostro sistema.

In particolare, l’output presenta diverse colonne: nella prima le singole voci vengono numerate in ordine progressivo, nella seconda è segnata l’ora in cui è avvenuta l’operazione da parte del sistema operativo. Seguono il nome del processo che ha prodotto la richiesta, il tipo di richiesta (OPEN, CLOSE, READ, QUERY INFORMATION, DIRECTORY, etc.), il path di riferimento, il risultato dell’operazione (SUCCESS, NOT FOUND, etc.) e infine altre informazioni.

FileMon è davvero facile da usare, ma necessita dei privilegi di amministratore del sistema. Il monitoraggio inizia con l’avvio del programma stesso e l’utente può salvare il log delle operazioni e richiamarlo in un altro momento.

Al momento del primo avvio FileMon analizza tutti gli hard drive locali; questa impostazione può essere modificata direttamente dal menu principale, nel quale possono essere indicati i volumi da monitorare.

Utilissima funzionalità aggiuntiva è rappresentata dai filtri attivabili dal menu Edit –> Filter oppure cliccando semplicemente l’icona nella toolbar. Sono presenti tre voci: Include, Exclude e Highlight dall’evidente significato che corrispondono ad altrettante diverse tipologie di filtro.

I filtri sono case-insensitive e il simbolo di default ‘*’ indica stringhe arbitrarie. Grazie ai filtri presenti è possibile, ad esempio, visualizzare od escludere tutte le operazioni di un certo tipo, ad esempio READ. Infine, dal menu principale l’utente è in grado di modificare i colori utilizzati dal filtro Highlight.

Di fondamentale importanza è l’opzione di ricerca nell’output. Si supponga, ad esempio, che un determinato programma non funzioni in quanto l’utente owner non gode dei privilegi necessari. L’amministratore di sistema può, mediante la funzione Search di FileMon, individuare l’esatta operazione che genera questo problema e, se lo ritiene necessario, cambiare i privilegi limitatamente al file indicato nel path e all’operazione non andata a buon fine.

A partire dalla versione 4.1 FileMon è in grado di monitorare le attività del filesystem riguardanti named pipe e mail slot. Le named pipe sono comunemente usate come meccanismi di comunicazione in Windows dal sottosistema principale come LSASS e sono usate da DCOM, oltre che da componenti di rete come il servizio browser. Per vedere le attività named pipe basta selezionare la voce named pipe dal menu ed effettuare un’operazione su una risorsa di rete condivisa, o aprire un’applicazione come regedit32 che interagisce con il sottosistema di sicurezza

Se l’output consistente vi spaventa e non riuscite ad orientarvi, non spaventatevi: oltre alla necessaria funzionalità clear, è presente un’impostazione che consente di limitare il numero di righe dell’output (Option –> History Depth, di default settata a 0, ovvero numero infinito di righe). A questo proposito, può accadere che in caso di elevato carico da parte del sistema, il buffer dell’applicazione presenti overflow e i numeri indicativi nella prima colonna presentino ‘buchi’ nella sequenza.

Non dimentichiamo inoltre le funzionalità di Autoscroll e Always on Top, che assieme a molte altre fanno di FileMon un prodotto indispensabile per coloro che amano avere il pieno controllo sul proprio sistema, anche in tema di sicurezza.

FileMon funziona correttamente su NT 4.0, Windows 2000, Windows XP, Windows XP e Windows Server 2003 64-bit Edition, Windows 2003 Server, Windows 95, Windows 98 e Windows ME.

Download: http://www.sysinternals.com/Utilities/Filemon.html