原文链接：https://kb.acronis.com/content/2295

什么是Process Monitor

Process Monitor是一种高级监控工具，可显示实时文件系统、注册表和进程活动。它结合了两个传统Sysinternals实用程序Filemon和Regmon的功能，并添加了许多其他增强功能。

Process Monitor可用于跟踪系统和软件活动，以解决某些产品问题，尤其是在需要跟踪特定应用程序或进程访问文件或注册表项时。

Process Monitor主窗口列出了所有系统操作及其确切时间、进程名称、ID和每个操作的结果：

要访问任何单个操作的高级信息，请右键单击操作行，然后选择 属性：

分析Process Monitor日志时，建议过滤掉条目。例如，您可以右键单击 结果 下的 成功 ，然后将其排除。您还可以过滤掉进程以及您喜欢的任何字段。

您可以选择将Process Monitor数据存储在磁盘上的文件中而不是虚拟内存中（例如，如果运行Process Monitor消耗太多RAM或减慢计算机速度）：

1. 转到 文件 ->备份文件：
   

2. 指定要存储事件数据的文件
   

如何收集Process Monitor日志

每当需要获取有关更改或创建文件/注册表项或访问本地驱动器上的路径的确切进程/应用程序的信息时，请执行以下操作：

1. 从Windows Sysinternals 页面下载Process Monitor，解压缩并运行它：
   

2. 有用的选项：

   • 您可能只想捕获特定事件，并从结果文件中排除其他事件。应用过滤器时，请不要忘记启用将从结果日志文件中删除排除事件的选项：过滤 - >删除过滤事件。否则，过滤器排除的事件仍将保存在日志文件中。
   • 默认情况下，Process Monitor将所有事件存储在虚拟内存中。要将数据存储在磁盘上，请导航到文件 - >备份文件，以选择将捕获的数据存储在驱动器或虚拟内存中。选择使用文件命名并指定目标文件夹和文件名。

3. 在不关闭实用程序的情况下重现问题;

4. 在Process Monitor主窗口中单击 文件 - >保存：
   

5. 请注意保存日志文件的路径，以便您能够找到它：
   

6. 选择 所有事件 并以PML格式保存日志文件:
   

7. 请确保将logfile.PML复制到ZIP文件中，它将变得非常小：