• Process Monitor 是Windows環境下很好用的程序動作監控工具。

• 然而用它監視程序的動作時往往會產生太多事件，以至於很難判斷使用者所需要關注的關鍵步驟在哪。
• 可以用PM觀察程序建立程序建立一個新檔案的動作。
• 可以用PM觀察程序把一個檔案重新命名為另一個檔案的動作。

在有些場合，知道程序建立和重新命名檔案是很有用的！！（什麼場合？見仁見智！）

=======================建立檔案部分===========

辦法如下：

主要思路：用CMD命令建立一個檔案（用其它工具會生成很多額外的事件），然後觀察建立過程

1. 過濾CMD以外的其它程序的產生的事件。選單 -> filter。過濾其它程序如下圖（[Process Name] [is] [cmd.exe] [Include]），只顯示cmd程序的產生的事件。

2. 在CMD裡執行D:/> D:>D:/aa.txt ， 這個命令中開頭的D:/>是提示符，是CMD顯示給使用者的，不需要輸入。而其後的命令 D:>D:/aa.txt為手動輸入的部分。 這個命令會在D盤也生成新檔案aa.txt。

3. 再檢視PM裡的內容（只有建立檔案的事件了:)）

=======================檔案重新命名檔案部分===========

1. 還是先調好PM，讓它只顯示CMD的動作。（參見上一節第一步，當然接著上一節做更好）。把PM裡的事件清空

2. 把PM裡原來留下來的事件清空（如果有的話）

3. 在CMD裡執行D:/>rename aa.txt bb.txt

4. PM中可以觀察到如下結果