2022年3月26日開催「.NETラボ 勉強会 2022年3月」でのセッション資料です。Microsoft から提供されている Windows の動作ログ採取ツール Process Monitor の使い方を紹介します

1. Process Monitor の使い方
Microsoft MVP for Windows and Devices for IT
Murachi Akira aka hebikuzure ( 村地 彰 )

2. About me
• Murachi Akira aka hebikuzure ( 村地 彰 )
• 株式会社エクシードワン 技術フェロー
• 株式会社シーピーエス 技術教育スペシャリスト
• 専門学校東京テクニカルカレッジ非常勤講師
• Microsoft MVP (Most Valuable Professional)
• Since Apr. 2011 ( 10 Years! )
• Award Category: Windows and Device for IT
• Expertise
• Windows client / user management and security
• Microsoft 365, Active Directory, Microsoft Endpoint Manager
26 Mar. 2022 ©Murachi Akira aka hebikuzure 2

3. このセッションの内容
• Process Monitor とは
• Process Monitor のインストール
• Process Monitor の画面構成
• 使いやすい設定
• ログ採取の手順
• Demo
26 Mar. 2022 ©Murachi Akira aka hebikuzure 3

4. .NETラボ 勉強会 2021年11月
26 Mar. 2022 ©Murachi Akira aka hebikuzure 4

5. Process Monitor を紹介しました
26 Mar. 2022 ©Murachi Akira aka hebikuzure 5

6. Process Monitor とは
• Windows のアクティビティ情報を採取してログ
に記録するツール
• 記録できるアクティビティ
• レジストリ アクセス
• ファイル アクセス
• ネットワーク アクセス
• プロセスとスレッド（生成/消去）
26 Mar. 2022 ©Murachi Akira aka hebikuzure 6

7. Process Monitor の使い道
• 特定プロセスの挙動
• どのレジストリ キーを参照しているのか
• どこのどのような一時ファイルを作成しているのか
• どこと通信しているのか
• 問題のあるプロセスの確認
• プロセスごとの CPU/メモリ/IO 使用状況
• エラーが出る際のプロセスの挙動（どこにどのよう
なアクセスをしたタイミングでエラーになるのか）
26 Mar. 2022 ©Murachi Akira aka hebikuzure 7

8. Process Monitor のインストー
ル
26 Mar. 2022 ©Murachi Akira aka hebikuzure 8

9. インストール方法は複数ある
• Microsoft サイトからダウンロードして展開
• https://docs.microsoft.com/en-
us/sysinternals/downloads/procmon
• ZIP をダウンロードして適当な場所に展開
• Microsoft Store からインストール
• https://www.microsoft.com/store/apps/9p7knl
5rwt25
• Sysinternals Live
• https://live.sysinternals.com/Procmon.exe
26 Mar. 2022 ©Murachi Akira aka hebikuzure 9

10. （ストアからインストール）
26 Mar. 2022 ©Murachi Akira aka hebikuzure 10

11. Pros / Cons
26 Mar. 2022 ©Murachi Akira aka hebikuzure 11
• Microsoft サイトからダウンロードして展開
• Process Monitor のみインストール
• 更新は手動（ダウンロードして上書き）
• Microsoft Store からインストール
• Sysinternals Suite としてインストール
• ストアで自動更新
• Sysinternals Live
• インストールせず Web から Process Monitor を実
行

12. 起動時
• 初回起動時は EULA への同意を求められる
• フィルター設定画面が表示される
（後から変更できるのでそのまま [OK]）
26 Mar. 2022 ©Murachi Akira aka hebikuzure 12

13. Process Monitor の画面構成
26 Mar. 2022 ©Murachi Akira aka hebikuzure 13

14. 26 Mar. 2022 ©Murachi Akira aka hebikuzure 14
メニュー バー
ツール バー
イベント ログ

15. ツールバー
• ちょっとモダンになった
26 Mar. 2022 ©Murachi Akira aka hebikuzure 15
旧
新

16. ツールバー項目
• 保存したログを開く
• ログを保存
• イベント記録（キャプチャ）開始/停止
• 自動スクロールオン/オフ
• ログ消去
• ログのフィルター
• ハイライト
26 Mar. 2022 ©Murachi Akira aka hebikuzure 16

17. ツールバー項目（２）
• 表示するプロセスのウィンドウを選択
• プロセス ツリーの表示
• イベントのプロパティ
• 検索
• 操作対象オブジェクトの表示
26 Mar. 2022 ©Murachi Akira aka hebikuzure 17

18. ツールバー項目（３）
• 表示するイベントの選択
レジストリ｜ファイル｜ネットワーク｜スレッド｜プロファイリ
ング
26 Mar. 2022 ©Murachi Akira aka hebikuzure 18

19. 使いやすい設定
26 Mar. 2022 ©Murachi Akira aka hebikuzure 19

20. フォント
• 見やすいフォント/サイズ
に変更
26 Mar. 2022 ©Murachi Akira aka hebikuzure 20

21. フィルター
• 既定のフィルターに加えてウイルス対策ソフトな
どのプロセスを除外しておくと良い
• IME 関連（CTFMON など）
も除外して良い
• その他明らかに不要な
ものは除外しておく
26 Mar. 2022 ©Murachi Akira aka hebikuzure 21

22. その他
• 自動スクロールはオフ推奨
• ダーク テーマに
できます
26 Mar. 2022 ©Murachi Akira aka hebikuzure 22

23. シンボルの設定
• プロセスのスタックを表示する際、シンボルが必
要
• 必要に応じてシンボルを設定しておく
26 Mar. 2022 ©Murachi Akira aka hebikuzure 23

24. ログの採取
26 Mar. 2022 ©Murachi Akira aka hebikuzure 24

25. 採取手順
1. Process Monitor 起動
2. キャプチャ停止
3. ログの消去
4. キャプチャ開始
5. 採取対象の操作/動作の実行
6. キャプチャ停止
7. （必要に応じて）ログ保存
26 Mar. 2022 ©Murachi Akira aka hebikuzure 25

26. Boot Logging
• Windows 起動時/サインイン時のログ採取が可
能
26 Mar. 2022 ©Murachi Akira aka hebikuzure 26
1. [Enable Boot Logging] にチェックを入れる
2. [Generate thread…] はチェックを入れず
[OK]
3. Process Monitor を終了
4. Windows を再起動
5. サインインして Process Monitor を起動
6. 起動するとログ保存を求められるので、保存

27. Demo
26 Mar. 2022 ©Murachi Akira aka hebikuzure 27

28. まとめ
• Process Monitor とは
• Process Monitor のインストール
• Process Monitor の画面構成
• 使いやすい設定
• ログ採取の手順
• Demo
26 Mar. 2022 ©Murachi Akira aka hebikuzure 28

29. 26 Mar. 2022 ©Murachi Akira aka hebikuzure 29
Any question?
Thank you!