ResourceKit中文版帮助[5]

，要点击安装。同时由于这是一个基于COM+的程序，而安装ptreeCOM的时侯，需要MSDTC服务，注意不要把它关了，不然会导致ptree不能正常运行，而且只会提示不能找到服务，后来是查了错误日志才发现的，微软坑人 ！。我就因为这个弄了好一阵子，呵呵！ 使用嘛，很简单，GUI就不用说了，都有提示，说一下命令行模式吧！  

ptree -c computer -k│-kt process -?│/?  

-c computer  
当要管理的是远程主机的时侯才需要用的这个参数，如果是本机就不要啦，直接ptree就可以了。  

-k process  
干掉后面指定的进程。  
这里的process可以是进程的名字也可以是PID。  
-kt process  
可以干掉整整一棵树。  

举例： ptree -c hello 然后出来一大串东西，自己看吧！  

16. pulist.exe  

命令行工具，和上面那个东西有点类似，和Tlist也有一点像（这东西在Support Tools里面）但是  
pulist.exe多一点点好处，可以显示出进程和用户之间的关系。比如：  
C:\>pulist  

Process PID User  
Idle 0  
System 8  
smss.exe 156 NT AUTHORITY\SYSTEM  
csrss.exe 176 NT AUTHORITY\SYSTEM  
winlogon.exe 172 NT AUTHORITY\SYSTEM  
services.exe 228 NT AUTHORITY\SYSTEM  
lsass.exe 240 NT AUTHORITY\SYSTEM  
svchost.exe 428 NT AUTHORITY\SYSTEM  
spoolsv.exe 452 NT AUTHORITY\SYSTEM  
msdtc.exe 480 NT AUTHORITY\SYSTEM  
tcpsvcs.exe 604 NT AUTHORITY\SYSTEM  
svchost.exe 620 NT AUTHORITY\SYSTEM  
llssrv.exe 644 NT AUTHORITY\SYSTEM  
nspmon.exe 712 USER1-COMPUTER1\NetShowServices  
nscm.exe 724 USER1-COMPUTER1\NetShowServices  

当你的计算机有多个处理器时，需要判断安全上下关系的时侯这个工具的用处就体现出来了！如果是远程操作的 时候就多加一个pulist \\server就可以了。而且可以顺序显示多个站点pulist \\server \\server………，  
但是这个时侯会不显示User。  

当你需要专门查找一个已知的进程的时候，可以用这样的方法来简化查找：  
pulist │ find "string"  

比如，过去老的pwdump2需要知道LSASS的PID，我们可以这样做：  

c:\>pulist │ find "LSASS"  
LSASS.EXE 252 NT AUTHORITY\SYSTEM  
然后使用252来运行pwdump2………  

17. Reducer.exe （Reduce Trace Data)  

这个东西是一个命令行的事件追踪工具，可以用来处理Tracelog（后面会提到这个工具）产生的记录，形成每个线程，每个进程的工作量记录。  

实际上呢，Reducer就是一个用来进一步分析工具，比如TraceDump（后面提到）可以允许你对一个追踪日志进行摘要，而Reducer则允许你进行拆分获得更多的细节，诸如：  

事务统计表：响应时间，每秒的事务数，每个事务的磁盘读写，每个事务的网络流量，CPU的使用（包括核心和用户空间）。  
映象统计表：事务有关的每个进程，每个进程相关的线程，每个进程的CPU使用（包括kernel和user)，每个进程的磁盘读写，每个进程的网络流量。  
磁盘信息：总的磁盘读写，每个进程的磁盘读写。  
OK，接下来介绍一下语法。  

语法非常简单：  

reducer -out filename -h│-help│-?  

-out filename  
输出的文件的名字，默认是Workload.txt  

举例：这里我已经事先使用Tracelog生成了一个logfile.etl，然后，  
reducer -out my_workload.txt c:\logfile.etl就行了。  

--------------------------------------------------  

----------------------------------------------+  
│ WINDOWS 2000 Capacity Planning Trace  

│  
│ Version : 2128  

│  
│ Type : Default  

│  
+-------------------------------------------------------------------------------------  

----------------------------------------------+  
│  

│  
│ Build : 2195  

│  
│ Processors: 1  

│  
│ Start Time: 17 Feb 2002 23:14:17.430  

│______________________________________________________________________│ │  
│ End Time : 17 Feb 2002 23:14:38.550  

│  
│ Duration : 21 Sec  

│  
│  

│  
│ Trace Name: NT Kernel Logger  

│  
│ File Name : C:\LogFile.Etl  

│  
│ Start Time: 17 Feb 2002 23:14:17.430