Process Monitor 学习笔记（5.5）：保存并打开追踪记录（PML/CSV）与协作分享全攻略

Process Monitor 学习笔记（5.5）：保存并打开追踪记录（PML/CSV）与协作分享全攻略

用好“保存/打开”，就能把一次偶发故障变成可复盘、可协作的稳定素材。本篇给你一套高分实践流：怎么存、存什么、如何发给同事、一键复现分析视图。

一、为什么要保存（Save）？

• 复盘：发生过一次的异常，十有八九还会再来；日志是最好的“现场还原器”。
• 协作：把 PML 发给同事，他能在自己的机器上完整复刻你的视图与上下文。
• 留痕：用于问题归档、SOP 编写、上线前后对比。

二、保存入口与文件格式

• 菜单：File → Save…

• 常见格式：

  • PML（原生格式）：包含最完整元数据（栈、列集等），首选；体积较大但分析能力最强。
  • CSV：适合在 Excel / 脚本（Python/Power BI）中做二次统计；不适合深度法证。
  • XML（如果你的版本支持导出）：结构化交换，做定制解析方便。

建议：现场留 PML，需要给非技术同学看再导一份 CSV 图表。

三、保存范围怎么选：All vs Displayed

保存对话框会提供保存范围（文案因版本略有差异）：

• All events：保存当前已捕获的全部事件。
• Events displayed using current filter：仅保存当前过滤后可见的事件。

✅ 最佳实践

• 初次保存请选 All events（保真留底）。
• 对外分享时再另存一份 使用当前过滤的副本，体积更小、指向更明确。

⚠️ 容易踩坑：
若你在捕获阶段开启了 Drop Filtered Events（丢弃被过滤的事件），即使选 All events，被丢弃的那部分也永远不在文件里。除非是明确的“精准取证”，否则不建议在采集中启用丢弃。

四、保存前的三步优化（显著提升还原度）

1. 确定时间线视图：
   Options → Select Time Display（不同版本表述不同）在 Relative / Time of Day / Since Boot 间切换。建议用 Time of Day，方便多源对表。
2. 确保栈捕获开启（若需）：
   若你要做根因溯源，先打开 Capture Call Stacks 再开始抓；PML 会连同栈信息保存。
3. 标注关键筛选与高亮：
   用我们在《5.3》讲过的高亮规则标记拒绝/重解析/写操作；保存“仅显示的事件”时，这些标色会让复盘更快。

五、如何打开与查看（Open / Load）

• 菜单：File → Open…，选择 .pml / .csv / .xml。

• 打开 PML 后，建议第一时间做三件事：

  1. 切到 Process Tree（Tools → Process Tree…）快速认识谱系与可疑链。
  2. 应用你的常用过滤模板（来源于 5.3 章节），几秒聚焦问题点。
  3. 检查捕获时的选项（状态栏/文件属性可见）：是否丢弃过事件、是否包含栈。

小提示：打开离线 PML 时，实时捕获会自动暂停（或保持原状态但不影响离线浏览）。建议手动 Capture Off 以免混入新事件。

六、团队协作的“标准打包”

发给同事的最小可用包推荐包含：

1. 核心追踪：CaseName_YYYYMMDD_HHMM.pml
2. 视图配置（可选）：你常用的过滤器文件（在“Filter”菜单里另存；不同版本扩展名略有差异，一般为 .pmf），或把筛选规则写在 README。
3. 复现场景说明：问题复现步骤、抓取起止时间点、系统/版本信息、是否开栈与 Drop Filtered Events。
4. 截图（可选）：Process Tree 的“可疑链”截图（箭头标出父子关系），让接收方一眼入戏。

命名建议
<模块>-<症状>-<主机/用户>-<日期时间>-<是否过滤>.pml
例如：Word-MacroLaunch-PeterPC-20251003-0930-All.pml

七、CSV/Excel 快速分析建议

若需沉淀报表或 KPI：

• 导出 CSV → 用 Excel 透视表：

  • 行：Process Name / Path
  • 列：Operation
  • 值：Count / Avg(Duration)

• 常见洞察：最重的文件夹/注册表分支、高延迟热点、失败码 TopN。

八、常见问题（FAQ）

Q1：我的 PML 很大，打开很慢？
A：优先用“仅保存过滤视图”；或在打开后立刻设置 Time Range（工具栏时钟图标）缩小窗口，再做深入分析。

Q2：打开别人 PML 后列不一致？
A：右键表头 → Select Columns 对齐列集；可提前导出/约定团队列模板（详见 5.8 配置导入导出）。

Q3：为什么看不到栈？
A：对方在采集时未开启 Capture Call Stacks，或目标操作本身不产生堆栈；采集前就要决定是否要栈。

Q4：保存后时间戳看起来不对？
A：确认你与对方的 Time Display 模式一致；必要时在邮件中说明你保存时使用的时间视图。

九、一分钟速查清单

• 抓取前确认：是否需要 栈？是否禁止丢弃（Drop Filtered Events 关）？
• 保存两份：All events（留底） + Displayed（分享/定位）
• 打开后立刻：Process Tree → 应用过滤模板 → 查看关键错误/高延迟
• 协作打包：.pml + .pmf（或规则说明）+ 复现步骤 +（可选）Tree 截图

十、结语

会“抓”，更要会“存”和“给人看”。PML + 过滤模板是 Procmon 团队化作战的标准件。把保存与打开的流程跑顺，问题从“偶发不可复现”瞬间变成“可视化证据链”。
下一篇我们进入 5.6：记录启动、注销后及关机活动（Boot Logging）——连“开/关机那段盲区”也要拉亮。