Cómo localizar el origen de la creación de archivos molestos en un entorno de Windows

¡Hola a todos!

Hace poco aprendí algo nuevo mientras trabajaba en un problema con el Centro de Soporte Internacional (WRC), y quería compartirlo con todos por si pudiera ayudar a alguien más.

Escenario:

Tienes archivos que se escriben inexplicablemente en una carpeta de tu servidor y, debido a la cantidad de archivos en la carpeta y al rendimiento general del sistema, no es posible trabajar sobre los archivos para localizar el origen.

Plan de ataque:

Utiliza Process Monitor de Microsoft para monitorizar la carpeta afectada, y después usa el ID del proceso asociado para saber qué proceso dentro de tu producción está generando los archivos.

Paso a paso

1. Descarga Process Monitor de Microsoft, y extrae el archivo comprimido al equipo afectado.
2. Ejecuta el exe pertinente en tu sistema.
3. Rápidamente verás que se llena con actividad, por lo que tenemos que filtrar todo excepto la carpeta de interés. Pulsa CTRL+L para que aparezca la ventana del filtro:
4. Añade la ruta como se muestra arriba, y luego haz clic en Aplicar/OK
5. Cuando haya actividad dentro de la carpeta, deberíamos ser capaces de localizar el PID que está creando el archivo:
6. Ve a la página de procesos en el Portal de Administración (System Operation>Processes), filtra usando el PID que se mostró arriba y mira el proceso.
7. En la pestaña Details se revelará el Namespace, y en la pestaña Variables, deberías ver una entrada para ConfigName. Este es el responsable:

A partir de aquí, puedes empezar a buscar en la clase que está detrás del elemento de configuración en tu producción para ver qué funcionó mal. Lo más probable es que tu propio código sea el verdadero responsable.