Aplique o filtro antes de capturar os dados e verifique se a opção Drop filtered Events está definida.
EspecifiquetambémqueosdadossãogravadosemumarquivoenãonaRAM:
Como você sabe, a Microsoft distribui o monitor de processo extremamente poderoso da Russinovich. Ele captura muitos eventos do sistema e possui um filtro para mostrar apenas alguns deles. Quero registrar uma falha rara em nomes de arquivos específicos. No entanto, há muitos eventos no meu sistema e o log sysinternals leva gigabytes de RAM gravando tudo. Tenho certeza de que preciso capturar não mais do que os eventos de arquivo que passam no meu filtro de exibição. Eu não quero capturar outros eventos. É possível?