Как вы знаете, Microsoft распространяет чрезвычайно мощный монитор процессов Руссиновича. Он фиксирует множество системных событий и имеет фильтр, показывающий только некоторые из них. Я хочу записать редкую ошибку в определенных именах файлов. Однако в моей системе много событий, и журнал sysinternals занимает гигабайты оперативной памяти, записывая все. Я уверен, что мне нужно захватывать не больше, чем файловые события, проходящие через мой фильтр просмотра. Я не хочу захватывать другие события. Является ли это возможным?
1 ответ
4
Примените фильтр перед захватом данных и убедитесь, что установлен параметр « Drop filtered Events
.
Также укажите, что данные записываются в файл, а не в ОЗУ: