Sysinternals的员工生产了一些高质量且非常有用的Windows工具。另一个技巧讨论了他们的Process Explorer,所以我想向您介绍他们的Process Monitor工具。进程监视器非常适合监视系统中所有进程正在进行的所有活动。实际上,它的默认配置使其非常好,因为您很快就会被呈现给您的数据量所淹没。不过,请不要担心-您将学习如何过滤数据,以便您可以精确地调整要监视的内容,而不会被不需要的数据所淹没。

使用Process Monitor,您可以捕获流程详细信息,包括图像路径,命令行,用户和会话ID;配置GUI以使其呈现感兴趣的任何列;为任何数据字段设置包括/排除过滤器,即使那些未显示其列的过滤器;以及更多。就个人而言,当我要跟踪特定文件的活动或准确跟踪特定进程在做什么时,我会使用它最多。

了解Process Monitor的最佳方法是实际使用它,因此首先要做的是从其站点下载它:

http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

Process Monitor是一个简单的.exe文件,可以从命令行或Windows资源管理器中运行。首次启动它时,系统会显示一个协议,您应该单击该同意。

从那时起,您将能够在不看到初始屏幕的情况下运行它。

过程监视器的屏幕如下所示。 (请参见图1。)

image

图1. Process Monitor主屏幕。

默认情况下,一旦启动,Process Monitor就会开始滚动上千行有关您系统中大多数进程正在进行的活动的数据。显示的列是可配置的。在我的系统上,我对其进行了配置,以显示与正在监视的活动相关的“时间”,“进程名称”,“ PID”,“操作”,“路径”,“结果”和“详细信息”列。您可以通过右键单击列标题之一以显示“过程监视器列选择”对话框来更改显示的列。 (请参见图2。)

image

图2.选择列。

您甚至可以通过以下方式更改列的显示顺序:单击并拖动列标题到所需的位置,然后释放鼠标按钮。

Process Monitor在其主屏幕顶部为您提供图标的工具提示。将鼠标悬停在每个图标上时,您会看到有关图标功能的简短说明。例如,左侧第一个图标提供的提示为“打开”(您可以保存Process Monitor的输出,以后再打开以进行分析)。下一个图标是“保存”功能,依此类推。图标不多,从视觉上看它们的作用很明显,但是我发现其中一些特别有用。在本技巧中,我将仅提及我最常使用的技巧,在名为“ link:/ windows-Using_Process_Monitor [Using Process Monitor]”的技巧中,我将更深入地介绍如何使用它们。

左起第三个工具是一个不错的工具:捕获工具。这样可以冻结屏幕,并允许您以多种方式分析快照。右边的下一个图标切换自动滚动。这样,您可以关闭实时滚动,但仍让Process Monitor继续监视正在发生的事情。当您重新打开自动滚动时,它将立即赶上当前时间。

左侧的第五个图标可让您清除显示。通常,您可以将此功能与设置过滤器结合使用,以便可以从空白显示开始,然后注意过滤器中指示的活动。

说到过滤器,过滤输出的能力可能是Process Monitor的核心-在调查特定流程的行为时,过滤的数据将成为非常有用的信息。 “过滤器”图标位于左侧第六,看起来像一个倒置的金字塔。

只需单击“关闭”按钮或选择“文件” |“退出”即可退出过程监视器。从菜单退出。

本技巧(13119)适用于Windows 7、8和10。