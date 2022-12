Um Windows-Problemen auf die Schliche zu kommen, benutze ich gerne den Process Monitor von Microsoft Sysinternals. Seit einiger Zeit will es mir aber ums Verrecken nicht mehr gelingen, die angezeigten Ereignisse mit gespeicherten Filtern zu dezimieren. Ich stelle mir die Filteroptionen so ein, wie ich sie brauche, wähle den Befehl "Filter/Save Filter" und gebe einen Namen ein – zum Beispiel "Policies". Er erscheint anschließend auch im Menü "Filter/Load Filter", aber wenn ich den Filter zwischenzeitlich geändert habe und den gespeicherten Eintrag auswähle, passiert einfach nichts. Ich bin mir ziemlich sicher, dass das schon mal funktioniert hat. Was mache ich falsch?

Nichts. Es handelt sich um einen Bug, den der Process Monitor mindestens seit Version 3.82 mit sich herumschleppt und der auch in der zum Redaktionsschluss aktuellen Version 3.92 noch nicht behoben ist.

Für einen Workaround müssen Sie ein bisschen mit der Registry und deren Export-Dateien jonglieren: Zunächst beenden Sie den Process Monitor und exportieren mithilfe des Registrierungs-Editors regedit den Schlüssel "HKEY_CURRENT_USER\Software\Sysinternals\Process Monitor", zum Beispiel in die Datei procmon_komplett.reg. In dem genannten Schlüssel speichert der Process Monitor alle seine Einstellungen, darunter auch die Filter.

Die exportierte Datei öffnen Sie nun in einem Texteditor und löschen alles Unnötige. Stehen bleiben nur die ersten paar Zeilen bis einschließlich [HKEY_CURRENT_USER\Software\Sysinternals\Process Monitor] sowie die Zeilen ab derjenigen, die – in Ihrem Beispiel – mit "Filter#Policies"=hex: beginnt, plus alle folgenden, durch eine Einrückung erkennbar dazugehörenden Zeilen. Zum Schluss ändern Sie noch "Filter#Policies" in "FilterRules" und speichern das Ergebnis unter neuem Namen, beispielsweise als procmon_policyfilter.reg. Analog basteln Sie sich auch .reg-Dateien für weitere gespeicherte Filter.

Wenn Sie nun einen dieser Filter verwenden wollen, stellen Sie zunächst sicher, dass der Process Monitor beendet wurde. Dann importieren Sie die gewünschte Filterregel per Doppelklick über den Registrierungs-Editor oder mit einem Aufruf des Kommandozeilenbefehls reg import . Wenn Sie anschließend den Process Monitor starten, sollten die gewünschten Filterregeln voreingestellt sein.

Im Process Monitor kann man viel Zeit damit verbringen, den Nachrichtenfilter auf seine Bedürfnisse zurechtzuschneiden. Ärgerlich, wenn sich das Ergebnis dann nicht speichern und wieder laden lässt.

(hos)