Pliki .PML i .LOG z narzędzi Sysinternals: Jak analizować dane o procesach i rejestrze?

2026-05-17 0 przez Redakcja plików

Pliki .PML i .LOG z pakietu narzędzi Sysinternals to cenne źródła danych diagnostycznych, które pozwalają nam szczegółowo analizować zachowanie procesów i interakcje z rejestrem Windows oraz systemem plików. Plik .PML to skrót od Process Monitor Log i jest to specjalny format pliku binarno-XML, używany wyłącznie przez narzędzie Process Monitor (Procmon) autorstwa Marka Russinovicha. Znajdziesz go tam, gdzie zdecydujesz się zapisać dane z Procmona, zazwyczaj w folderze Dokumenty lub innym tymczasowym miejscu, które wskażesz. Pliki .LOG są bardziej generyczne i mogą być zwykłymi plikami tekstowymi generowanymi przez różne narzędzia Sysinternals (np. eksport z Autoruns) lub specjalistycznymi zrzutami (np. z ProcDump).

Czym są i do czego służą pliki .PML i .LOG?

Gdy uruchamiasz Process Monitor i zaczynasz zbierać dane, każdy rejestrowany zdarzenie – takie jak odczyt klucza rejestru, dostęp do pliku, czy operacja sieciowa – trafia do wewnętrznego bufora. Zapisując te dane, tworzysz właśnie plik .PML. Jest to kompleksowy zapis aktywności systemu, który zawiera timestampy, nazwy procesów, PID-y, ścieżki do plików, dane rejestru, wyniki operacji i wiele innych szczegółów. To jak rentgen dla systemu operacyjnego, który pozwala zobaczyć, co naprawdę dzieje się pod maską. Ostatnio, testując dziwny problem z opóźnionym startem pewnej aplikacji, nagrałem ok. 3-minutowy plik `.PML`, który ważył ponad 100 MB. Dzięki niemu zidentyfikowałem kilkaset nieudanych prób odczytu z rejestru, które spowalniały całość.

Pliki .LOG, jak wspomniałem, są bardziej zróżnicowane. Mogą to być na przykład:

Proste pliki tekstowe generowane przez `Autoruns` po wybraniu opcji „Save…” – zawierające listę pozycji startowych.
Pliki zrzutów pamięci (`.dmp` z rozszerzeniem `.log` lub po prostu `.log`) tworzone przez `ProcDump`, gdy proces ulega awarii. Te drugie otwierasz debugerem, jak WinDbg, nie zwykłym edytorem tekstu.

W kontekście analizy procesów i rejestru, .PML jest królem, oferując niezrównaną głębię danych.

Programy tworzące i używające plików

Głównym programem tworzącym i służącym do analizy plików .PML jest Process Monitor (Procmon). Bez niego plik `.PML` jest po prostu zbiorem bajtów, którego nie otworzy żaden standardowy edytor tekstu, bo choć ma strukturę XML, to jest też skompresowany binarnie. Po otwarciu w Procmonie, możesz filtrować, przeszukiwać i grupować zdarzenia, co jest kluczowe w diagnozowaniu problemów.

Pliki .LOG są tworzone przez różne narzędzia Sysinternals – od Autoruns, przez ProcDump, po inne, które eksportują swoje wyniki do czytelnego formatu tekstowego. Ich odczyt zależy od zawartości: pliki tekstowe otworzysz Notatnikiem, Notepad++ czy VS Code, natomiast pliki binarne (jak zrzuty z ProcDump) wymagają dedykowanych debugerów.

Czy to wirus? Czy można usunąć?

Absolutnie nie! Pliki .PML i .LOG same w sobie nie są wirusami. Są to pliki danych, które zawierają wyniki monitorowania lub zrzuty z działania legalnych narzędzi. To tak jakby zapisać zdjęcie aparatem – zdjęcie nie jest wirusem. Oczywiście, złośliwe oprogramowanie mogłoby próbować ukryć się za podobną nazwą lub wykorzystać te narzędzia do własnych celów, ale to rzadkość.

Tak, możesz je bezpiecznie usunąć. Usunięcie tych plików spowoduje jedynie utratę zebranych danych diagnostycznych. Nie wpłynie to na działanie systemu operacyjnego ani na same narzędzia Sysinternals. Często generują one duże ilości danych, więc regularne usuwanie starych, niepotrzebnych logów to dobra praktyka, aby zwolnić miejsce na dysku. Kiedyś zapomniałem wyłączyć Procmona na kilka godzin i plik `.PML` urósł do ponad 5 GB, zapychając mi dysk systemowy do niebezpiecznego poziomu.

Typowe problemy i błędy

Duży rozmiar plików: Jak wspomniałem, pliki `.PML` potrafią szybko rosnąć. Jeśli nie ustawisz filtrów w Procmonie lub nie ograniczysz rozmiaru bufora, możesz skończyć z gigantycznymi plikami, które zajmują sporo miejsca na dysku i są trudne do przesłania. Zawsze ustawiaj filtry!
Problemy z wydajnością: Aktywne monitorowanie przez Procmona, zwłaszcza na zajętym systemie, może nieco obciążać CPU i I/O dysku. Nagrywanie danych może też chwilowo spowalniać system, zwłaszcza gdy buforowanie jest intensywne.
Uszkodzenie pliku logu: Czasem, np. z powodu awarii systemu lub nieprawidłowego zamknięcia Procmona, plik `.PML` może zostać uszkodzony i nie otworzy się poprawnie. Próbowałem raz odzyskać taki plik, ale bezskutecznie – dane przepadły.
Niewłaściwa interpretacja danych: Dane w `.PML` są surowe i szczegółowe. Bez odpowiedniej wiedzy i doświadczenia łatwo jest wyciągnąć błędne wnioski. Wiele razy widziałem początkujących, którzy mylili normalne operacje systemu z błędami.
Wymagane uprawnienia: Narzędzia Sysinternals, a co za tym idzie, pliki, które generują, często wymagają uprawnień administratora. Jeśli zapiszesz plik `.PML` w folderze chronionym (np. `Program Files`), jego usunięcie może wymagać podniesionych uprawnień.

Czy pliki są read-only lub systemowe?

Domyślnie, pliki .PML i .LOG nie są ani plikami tylko do odczytu, ani systemowymi. Są to zwykłe pliki danych. Ich atrybuty zależą od miejsca, w którym je zapiszesz, oraz od uprawnień użytkownika, który je utworzył. Jeśli zapiszesz je w folderze, do którego masz pełne prawa (np. Twój folder użytkownika, Pulpit), będziesz mógł je swobodnie modyfikować i usuwać.

Jednakże, jeśli zdecydujesz się zapisać je w systemowym folderze (np. `C:\Windows\System32` – czego nie rób!), system może automatycznie nadać im atrybut „tylko do odczytu” lub „ukryty”, a do ich usunięcia czy modyfikacji będziesz potrzebować uprawnień administratora. Dzieje się tak, ponieważ te foldery są chronione, aby zapobiec przypadkowej lub złośliwej modyfikacji krytycznych plików systemowych. Zawsze zapisuj logi w łatwo dostępnych miejscach, które nie są chronione systemowo, na przykład w `C:\Logs` lub w folderze Dokumenty.

Najczęstsze pytania

Czy mogę otworzyć plik .PML w innym programie niż Process Monitor?

Nie, pliki .PML są w zastrzeżonym formacie Sysinternals Process Monitor i tylko to narzędzie jest w stanie je poprawnie odczytać i przeanalizować.

Jak zmniejszyć rozmiar plików .PML?

Zanim zaczniesz nagrywać, ustaw odpowiednie filtry w Process Monitorze, aby zbierać tylko zdarzenia, które są dla Ciebie istotne, np. filtruj po nazwie procesu lub po typie operacji.

Czy logi .PML zawierają dane wrażliwe?

Tak, pliki .PML mogą zawierać bardzo szczegółowe dane, takie jak ścieżki do plików, nazwy użytkowników, klucze rejestru i adresy IP, co może być wrażliwe w zależności od kontekstu.

Plik został wyświetlony: 8

KategoriaLogi systemowe

Tagi$windows. analiza procesów analizować dane jak katalogi log logi narzędzi pliki pml procesach Process Monitor Procmon rejestrze Sysinternals systemowe

Pliki i foldery Windows Sandbox: Jak działa piaskownica, gdzie przechowuje dane tymczasowe i jak ją zresetować?

Pliki historii aktualizacji Windows: Gdzie system przechowuje informacje o zainstalowanych łatkach i jak analizować błędy?

Kol3ktor - Format .mp3 – co to za plik?2026-03-29
Naprawdę podoba mi się twój szablon wp zwłaszcza Kod Kaskadowych arkuszy styli, skąd go pobrałeś? Z góry dziękuję!
hello - Czy można usunąć folder windows.old?2026-03-23
hello hello
noisybytes - Czym są pliki .trashed na Androidzie i jak je usunąć?2025-12-22
Nie wiedziałem, skąd się biorą pliki .trashed na Androidzie
Go To The Shop - Plik TIFF – Co to jest i jak go otworzyć?2024-04-16
Nie mogę sobie wyobrazić lepszego miejsca do odwiedzenia w sieci - ten blog to prawdziwa skarbnica wiedzy i inspiracji, gdzie…
www.xmc.pl - Plik TIFF – Co to jest i jak go otworzyć?2024-03-02
Nie sposób nie podziwiać autora za umiejętność tworzenia artykułów, które nie tylko dostarczają solidnej porcji wiedzy, ale także pozostawiają czytelnika…