Файл PMC - это результат экспорта конфигурации Procmon после ее настройки.
- Запустить Procmon
- Настройте свои фильтры
- Проверьте их, чтобы убедиться, что они работают так, как вы хотите, чтобы они
- Установите глубину вашей истории на то, что вы хотите; Я предлагаю 1
- Включить удаление отфильтрованных событий
После того, как все настроено так, как вы хотите, экспортируйте конфигурацию в файл PMC, чтобы сохранить настройки и разрешить их использование в командной строке.
Теперь, при запуске Procmon через командную строку, вам нужно будет использовать этот синтаксис:
Procmon.exe /BackingFile C:\temp\PM.PML /LoadConfig c:\temp\pm.pmc /quiet
Измените диск и путь, очевидно, в соответствии с вашей конкретной средой.
Если вы не используете /quiet
, инструмент будет запрашивать подтверждение фильтров при каждом запуске.
Ресурсы: https://technet.microsoft.com/sysinternals/processmonitor.aspx
Надеюсь это поможет.