Process Monitor 是一款 Windows 平台的高级监控工具。它可以记录系统中注册表、文件和进城、线程的活动。功能上集合了 Sysinternals 组件中 FileMon 和 RegMon 的功能并添加了很多方便排查问题的实用功能，如过滤条件并且提供了丰富的事件属性，如 Session IDs 、用户名、进程信息、调用栈等等。这些特性使 Process Monitor成为 Windows 平台中不可或缺的神兵利刃。

点击图标 弹出过滤设置窗口，如下图所示：

设置条件并添加至条件列表，然后选择 OK 或者 Apply ：如下图设置表示当记录项的 Architecture 属性为 32-bit 时则显示对应记录项

在 Option 中选择 Enable Boot Logging 功能，如下图：

弹出以下窗口提示，如果希望获取线程事件信息则勾选 Generate thread profiling events 并选择时间间隔，然后选择 OK；

重启机器并复现问题，当系统启动后运行 Process Monitor，此时会提示 Boot-Time 活动已经记录，是否保存数据，保存对应的日志即可：

配置 Symbol 路径，可以在 Process Monitor –> Option –> Configure Symbols 中配置或者设置系统环境变量，可以参考文章 Specify symbol file locations from the command line

双击事件并选择 Stack 列，则可以看到对应的调用栈，该功能部分场景下只有 public symbol 时意义不大，但如果有 private symbol 则如虎添翼；

如果通过以上设置后未能正常加载 Symbol ，请将 dbghelp.dll 路径设置为 Windbg 中使用的dbghelp.dll。