Фильтр захвата монитора процессов (или сценарии)

1790
Val

Как вы знаете, Microsoft распространяет чрезвычайно мощный монитор процессов Руссиновича . Он фиксирует множество системных событий и имеет фильтр, показывающий только некоторые из них. Я хочу записать редкую ошибку в определенных именах файлов. Однако в моей системе много событий, и журнал sysinternals занимает гигабайты оперативной памяти, записывая все. Я уверен, что мне нужно захватывать не больше, чем файловые события, проходящие через мой фильтр просмотра. Я не хочу захватывать другие события. Является ли это возможным?

2

1 ответ на вопрос

4
magicandre1981

Примените фильтр перед захватом данных и убедитесь, что опция Drop filtered Eventsустановлена.

enter image description here

Также укажите, что данные записываются в файл, а не в ОЗУ:

enter image description here

enter image description here

Похожие вопросы