个人主页杨利杰YJlio❄️个人专栏《Sysinternals实战教程》 《Windows PowerShell 实战》 《WINDOWS教程》 《IOS教程》《微信助手》 《锤子助手》 《Python》 《Kali Linux》《那些年未解决的Windows疑难杂症》让复杂的事情更简单让重复的工作自动化《Windows Sysinternals实战指南》5.12 Process Monitor 学习笔记工具栏参考与高效实战手册1. 为什么要专门写一篇 Procmon 工具栏手册2. 工具栏的本质把排障动作压缩成按钮3. Capture、Clear、Autoscroll先把现场控制住3.1 Capture开始和暂停不是“随便点一下”3.2 Clear复现前必须清屏3.3 Autoscroll观察时打开分析时关闭4. 事件类别 5 开关它们不是过滤器4.1 初学者推荐开关组合5. Filter 与 Highlight先过滤再高亮5.1 万能三步走5.2 高亮规则建议5.3 不要过早排除 SUCCESS6. Process Tree、Find、Stack三把导航刀6.1 Process Tree先看谁启动了谁6.2 Find快速定位关键字6.3 Stack找真正触发者7. Drop Filtered Events、Backing Files、History Depth长跑体积控制三件套7.1 Drop Filtered Events长跑前要慎重确认7.2 Backing Files把采集写到磁盘7.3 History Depth主要影响界面不等于 PML 上限8. Save 与 OpenPML 是证据CSV 是统计视图8.1 PML优先保存的原始证据8.2 CSV适合 Excel 和多源对齐8.3 标准证据包建议9. 我的默认工具栏模板9.1 常规软件启动慢模板9.2 文件保存失败模板9.3 插件加载异常模板10. 一键排障实战手册清屏、捕获、复现、暂停、保存10.1 针对用户远程协助的简化话术10.2 工单记录模板11. 常见误区排雷11.1 第一个异常点比最后一个错误更重要12. 总结会用按钮才会稳定交付证据1. 为什么要专门写一篇 Procmon 工具栏手册很多人第一次打开 Process Monitor最容易被两件事劝退第一界面里事件刷得太快第二工具栏按钮很多看起来都像“高级功能”。结果就是只会点开始、停止、过滤然后面对几十万行事件继续发懵。但 Procmon 的工具栏并不是摆设。它其实把排障的几个核心动作都压缩在按钮里开始捕获、清空现场、控制事件类别、过滤、搜索、进程树、保存、打开、控制长跑体积。只要这些按钮的边界搞清楚Procmon 就会从“日志洪水制造机”变成一把可以稳定交付证据的手术刀。我的理解是Procmon 工具栏不是功能清单而是一套排障动作顺序。真正要学的不是每个按钮叫什么而是什么时候点、为什么点、点完看什么。这张图对应本文核心工具栏按钮要从“图标记忆”升级为“排障流程”。对于企业桌面支持来说这一篇尤其适合做成团队内训材料。因为一线同事不一定需要一开始就理解 Windows 内核回调、Minifilter、注册表回调、调用栈符号解析这些底层细节但必须知道复现前要先清屏分析时要暂停长跑前要先过滤取证保存要优先 PML类别开关不能误当成过滤器。2. 工具栏的本质把排障动作压缩成按钮Procmon 的工具栏可以粗略分成五类采集控制、事件类别、过滤高亮、导航分析、保存协作。每一类对应排障中的一个阶段。准备复现清屏 Clear开始捕获 Capture复现问题暂停捕获过滤 / 高亮Process Tree / Find / Stack保存 PML / 导出 CSV形成证据包这个顺序非常重要。你不能一边大量事件继续滚动一边认真分析也不能不设过滤就直接长时间抓取更不能只截图不保存 PML。工具栏的意义就是把这些动作按正确顺序串起来。不要把 Procmon 当成“打开就抓”的工具。没有清屏、没有过滤、没有保存策略的抓取后续复盘价值会很低。工具栏模块代表按钮核心作用采集控制Capture / Clear / Autoscroll控制现场是否继续产生事件事件类别Registry / File / Process / Network / Profiling控制当前显示哪些事件类型过滤高亮Filter / Highlight降噪和拉出异常导航分析Process Tree / Find / Stack定位进程链、关键字和调用来源文件协作Open / Save保存证据、离线复盘、团队交接长跑控制Drop Filtered Events / Backing Files控制体积和稳定性如果只记一条原则先控制现场再缩小范围最后保存证据。3. Capture、Clear、Autoscroll先把现场控制住Procmon 排障的第一步不是看日志而是控制采集窗口。Capture、Clear、Autoscroll 这三个按钮看似简单但用错了会直接影响后续证据质量。3.1 Capture开始和暂停不是“随便点一下”Capture 用于开始或暂停事件采集常见快捷键是Ctrl E。建议的标准动作是先暂停捕获配置过滤器和列视图清屏后再开始捕获复现问题后立刻暂停。标准动作 暂停捕获 → 配置过滤 → 清屏 → 开始捕获 → 复现问题 → 立刻暂停暂停不是结束而是把现场冻结下来方便你稳定分析。3.2 Clear复现前必须清屏Clear 用于清空当前窗口事件常见快捷键是Ctrl X。它不会修复问题也不是删除系统日志只是清掉当前 Procmon 窗口里的事件列表。复现前清屏的价值很直接你能确定后面看到的事件就是本次复现产生的而不是上一次打开软件、刷新桌面、后台同步带来的历史噪声。复现前 Ctrl X是 Procmon 现场取证的基本动作。3.3 Autoscroll观察时打开分析时关闭Autoscroll 会让列表自动跟随最新事件滚动。这个按钮适合观察“系统是否还在疯狂刷事件”但不适合做细节分析。分析时如果 Autoscroll 没关光标会被新事件不断拖走阅读体验很差。Autoscroll 开着分析日志是很多新手看不清 Procmon 的原因之一。4. 事件类别 5 开关它们不是过滤器Procmon 工具栏里有几个常见的事件类别按钮Registry、File System、Process Thread、Network、Profiling。这里最容易踩坑的一句话是它们更接近显示开关不等同于完整过滤器。类别按钮可以帮你快速减少当前视图里的事件类型让界面不那么拥挤。但如果你要做精准取证、长期采集、日志体积控制不能只依赖类别按钮而应该配合 Filter 和 Drop Filtered Events。类别常见事件适合问题RegistryRegOpenKey / RegSetValue / RegQueryValue配置、策略、加载项、权限File SystemCreateFile / ReadFile / WriteFile / QueryDirectory文件访问、保存失败、路径缺失、占用Process ThreadProcess Create / Process Exit / Load Image父子进程、启动链、自启动、DLL 加载NetworkTCP Connect / Send / Receive连接失败、代理、网络等待ProfilingCPU 采样事件高 CPU、卡顿热点初步排障时建议先开 File System Registry涉及启动链再补 Process Thread怀疑网络等待再补 Network性能热点再短时间开 Profiling。4.1 初学者推荐开关组合如果不知道该开哪些建议从最稳的组合开始File System、Registry、Process Thread。这个组合能覆盖大多数桌面应用启动、保存、安装、配置读取、权限异常问题。推荐默认 File System开启 Registry开启 Process Thread开启 Network按需开启 Profiling默认关闭必要时短时间开启Profiling 不建议默认长时间开启。它对性能热点有价值但会增加事件量和分析复杂度。5. Filter 与 Highlight先过滤再高亮Filter 和 Highlight 是 Procmon 里最常用、也最容易被混用的两个功能。Filter 决定“哪些事件留下来”Highlight 决定“哪些事件被标出来”。前者负责降噪后者负责提醒。正确顺序是先用 Filter 收窄范围再用 Highlight 拉出异常。5.1 万能三步走日常排障中可以先按下面三步走。这个套路不花哨但命中率很高。第一步锁进程 Process Name is yourapp.exe → Include 第二步去噪声 Result is SUCCESS → Exclude 第三步收口路径或操作 Path contains \Config\ Operation is CreateFile Result contains DENIED / VIOLATION / NOT FOUND如果进程父子链复杂比如 Office 拉起脚本、安装器拉起子进程、服务进程再拉子进程先用 Process Tree 找到父子链再对整段链路做过滤。5.2 高亮规则建议高亮不要配置太多颜色太多等于没有重点。建议先保留四类权限问题、路径问题、共享冲突、PMARK 标记。Result is ACCESS DENIED → 红色 Result is NAME NOT FOUND → 橙色 Result is SHARING VIOLATION → 紫色 Path contains PMARK → 蓝色 Duration 0.1s → 黄色高亮只负责让你看见异常它不会减少事件量。真正降低噪声靠 Filter。5.3 不要过早排除 SUCCESS很多教程会建议先排除 SUCCESS这在找失败码时很有效。但如果你分析的是性能问题比如启动慢、登录慢、卡顿成功事件也可能是关键证据。一个文件访问全是 SUCCESS但每次 Duration 都很长它仍然可能是问题来源。权限类问题可以先排除 SUCCESS性能类问题不要一上来就排除 SUCCESS。6. Process Tree、Find、Stack三把导航刀当过滤和高亮把范围缩小后下一步就要靠导航工具继续下钻。Process Tree 看关系Find 找关键字Stack 追调用来源。这三把刀能把“看到异常”推进到“解释异常”。6.1 Process Tree先看谁启动了谁Process Tree 用树形结构展示进程父子关系、启动时间、命令行、路径、用户和完整性级别。它特别适合处理 Office 拉起脚本、安装器拉子进程、服务反复重启、同名进程混淆等问题。打开路径 Tools → Process Tree遇到“是谁拉起来的”这类问题不要在主表硬翻先看 Process Tree。6.2 Find快速定位关键字Find 常用快捷键是Ctrl F。它适合搜路径、错误码、模块名、PMARK 标记、注册表键名。对于你前面 5.11 中提到的 PMARK 语义锚点Find 是最高效的入口。常见搜索 PMARK ACCESS DENIED SHARING VIOLATION Addins CLSID NTUSER.DAT6.3 Stack找真正触发者Stack 的价值是把某一条文件、注册表或网络事件追到调用来源。尤其是在安全软件、DLP、EDR、同步盘、插件、加载项介入时Stack 往往能暴露关键模块。Stack 不是默认万能。采集前未开启调用栈事后无法完整还原符号没配好也会影响可读性。推荐符号路径 srv*C:\Symbols*https://msdl.microsoft.com/download/symbols看 Stack 时不要被系统模块淹没重点找非系统、反复出现、与异常同步的 DLL 或驱动。7. Drop Filtered Events、Backing Files、History Depth长跑体积控制三件套如果只是抓 30 秒体积问题还不明显。一旦要抓 30 分钟、几个小时甚至全天Procmon 的日志体积就会成为主要风险。这里必须理解三个开关Drop Filtered Events、Backing Files、History Depth。7.1 Drop Filtered Events长跑前要慎重确认Drop Filtered Events 的含义是被过滤器排除的事件不再保留。它能显著降低体积但代价也很明确被丢弃的事件事后无法找回。取证场景慎用 Drop Filtered Events长时间追踪可以用但前提是过滤器已经验证过。7.2 Backing Files把采集写到磁盘Backing Files 用于把事件写入磁盘文件适合长时间采集、无人值守采集、复现时间不确定的问题。建议放在非系统盘避免和系统盘、数据库盘、高 IO 业务盘抢资源。建议路径 D:\ProcmonLogs\case_yyyyMMdd_HHmm.pml长跑采集不要只靠内存窗口应该配合 Backing Files 写盘。7.3 History Depth主要影响界面不等于 PML 上限History Depth 用于控制界面保留的历史事件数量。它对 UI 响应和内存压力有帮助但不要误以为它能完整控制 Backing File 的大小。真正控制 PML 体积还是要靠过滤、Drop 和轮转切片。长时间采集先验证过滤器按需开启 Drop Filtered EventsBacking File 写入非系统盘计划任务轮转切片保留异常时间窗长跑稳定的核心不是“硬抓”而是过滤、写盘、轮转、清理。8. Save 与 OpenPML 是证据CSV 是统计视图Procmon 分析结束后最关键的动作是保存证据。这里要分清 PML 和 CSV。PML 是 Procmon 原生日志格式保留的信息最完整CSV 适合统计和跨工具对齐但不能替代 PML。8.1 PML优先保存的原始证据PML 适合离线复盘、团队协作、重新过滤、查看 Detail、Stack 和 Process Tree。只要是严肃问题尤其是需要交给二线、厂商或后续复盘的问题都应该优先保存 PML。只要还没定根因PML 就不要删。CSV 不能替代 PML。8.2 CSV适合 Excel 和多源对齐CSV 的价值在于统计。你可以用 Excel 或 Power BI 做 Result 分布、Operation 统计、路径访问 TopN、Duration 平均值等分析。它也适合和应用日志、DebugView、ETW 导出结果按 Time of Day 对齐。适合 CSV 的场景 Result 错误码统计 Operation 操作类型统计 Path TopN Process Name TopN Duration 排序 和应用日志按时间对齐PML 负责保真CSV 负责统计。两者角色不同。8.3 标准证据包建议CaseName_YYYYMMDD_All.pml CaseName_YYYYMMDD_Filtered.pml CaseName_YYYYMMDD_ResultCount.csv CaseName_YYYYMMDD_ProcessTree.png CaseName_YYYYMMDD_Stack.png README.md不要只发截图。截图只能证明你看到过某个现象PML 才能让别人复盘你的证据链。9. 我的默认工具栏模板如果让我给一线桌面支持同事配置一个默认模板我不会把所有功能都打开。默认模板的目标应该是稳、轻、可读而不是“全量抓一切”。默认开启 Registry File System Process Thread 默认关闭 Network Profiling Autoscroll 默认列 Time of Day Process Name PID Operation Path Result Detail Duration 默认高亮 ACCESS DENIED NAME NOT FOUND SHARING VIOLATION Duration 0.1s PMARK默认模板要适合 80% 场景。特殊场景再临时加 Network、Profiling 或 Stack。9.1 常规软件启动慢模板Process Name is target.exe → Include Category is File System → Include Category is Registry → Include Duration 0.1s → Highlight Result contains DENIED / VIOLATION / NOT FOUND → Highlight9.2 文件保存失败模板Process Name is target.exe → Include Operation is CreateFile → Include Operation is WriteFile → Include Result is ACCESS DENIED → Highlight Result is SHARING VIOLATION → Highlight Path contains 目标目录 → Include9.3 插件加载异常模板Process Name is OUTLOOK.EXE → Include Path contains Addins → Include Path contains CLSID → Include Operation is Load Image → Include Result contains NAME NOT FOUND → Highlight模板不是越复杂越好。越接近问题对象越容易得到干净证据。10. 一键排障实战手册清屏、捕获、复现、暂停、保存把工具栏按钮串起来以后可以形成一个很稳定的实战流程。这个流程适合大多数桌面应用问题启动慢、保存失败、配置不生效、加载项异常、安装失败、偶发报错。1. 打开 Procmon先暂停捕获 2. 配置事件类别File Registry Process 3. 设置过滤器锁定目标进程或路径 4. Ctrl X 清屏 5. Ctrl E 开始捕获 6. 复现问题 7. Ctrl E 立即暂停 8. 高亮错误码和慢调用 9. Process Tree / Find / Stack 下钻 10. 保存 PML必要时导出 CSV这套动作的目标是让每次采集都可复现、可解释、可交付。10.1 针对用户远程协助的简化话术如果要让用户配合可以把话术压缩成这样我需要抓取一个问题复现窗口的系统访问日志。 请先不要操作目标软件。 我会打开 Procmon 并清空当前事件。 开始捕获后你再复现一次问题。 复现完成后请不要继续操作我会立刻暂停并保存日志。远程协助时最怕用户提前操作或复现后继续乱点。话术要把动作顺序说清楚。10.2 工单记录模板【采集工具】 Process Monitor 【采集动作】 复现前清屏开始捕获后执行问题复现复现完成后立即暂停。 【事件类别】 File System / Registry / Process Thread 【过滤条件】 Process Name is xxx.exe Result contains DENIED / VIOLATION / NOT FOUND 【关键发现】 目标进程在复现时间窗口内对 xxx 路径执行 CreateFile Result 为 ACCESS DENIED Detail 显示 Desired Access: Generic Read。 【当前判断】 当前证据指向权限或第三方组件拦截需结合 Stack 或正常机器对比验证。 【输出文件】 已保存 All Events PML 与过滤后 PML。不要在工单里只写“已抓 Procmon”。要写清楚抓了什么、过滤了什么、发现了什么、下一步验证什么。11. 常见误区排雷工具栏看起来简单但误区很多。下面这些问题在一线排障里非常常见。误区后果正确做法把类别开关当过滤器以为已经减少采集压力用 Filter 和 Drop 控制采集范围复现前不清屏时间线混乱Ctrl X 后再复现分析时不暂停事件继续滚动难以定位复现后立刻 Ctrl E只看 Result漏掉成功但耗时长的事件同时看 Detail / Duration / Stack长跑不写盘内存压力大证据易丢启用 Backing Files过早开启 Drop上下文事件不可恢复先验证过滤器再开启只保存 CSV丢失深度复盘能力原始 PML 必须保留Stack 没开却想溯源事后无法完整追模块需要溯源时短时间开 StackProcmon 最危险的用法是看起来抓了很多但关键上下文早就被自己过滤掉了。11.1 第一个异常点比最后一个错误更重要很多时候用户看到的是最后一个报错比如“保存失败”“启动失败”“加载项不可用”。但 Procmon 里真正有价值的往往是更早之前的第一个异常点。比如某个配置文件读不到、某个注册表键权限拒绝、某个 DLL 路径查找失败。不要被最后一个报错牵着走。回到时间线找第一个改变流程方向的异常点。12. 总结会用按钮才会稳定交付证据Procmon 工具栏并不复杂复杂的是事件量太大、现场变量太多、问题复现窗口太短。真正熟练的用法不是把每个按钮都点一遍而是把按钮变成固定动作清屏、捕获、复现、暂停、过滤、高亮、下钻、保存。本篇最重要的结论可以压缩成三句话第一Capture、Clear、Autoscroll 负责控制现场第二Filter、Highlight、Process Tree、Find、Stack 负责缩小嫌疑面并追溯来源第三Drop Filtered Events、Backing Files、PML 保存负责长跑稳定和证据交付。从 Mark 式排障视角看工具栏不是按钮集合而是“观察—过滤—关联—验证—留证”的操作入口。后续排查 Outlook、Explorer、Teams、OneDrive、EDR、飞连、安装失败、启动慢、文件占用等问题时可以把本文的工具栏手册当成固定检查清单。每次抓取都按同一套动作执行证据质量会稳定很多也更容易沉淀成工单、SOP 和博客复盘。返回顶部