Procmon64 - вопрос по настройке
 

Люди, вот к примеру я открыл процмонитор, туда навалило инфы, я отключаю автоскролл чтобы порыться в том что прога уже намониторила, и пока мотаю потиху вверх отыскивая нужное, то то что добавляется снизу получается вытирает то что уже добавлено выше, т.е. пока я до туда добираюсь, там уже потолок, т.е. как я понимаю есть какойто диапазон того что вмещает в себя монитор. Как (и можно ли так вообще сделать) чтобы задизаблить добавление новой инфы после того как я нажал стоп автоскроллинга ?? По идее было бы неплохо если б такое поведение уже по умолчанию было в проге. Иначе полноценно не прошерстить всю полученную выше по списку инфу.

Остановить сбор логов комбинацией клавиш или через меню:

NickM, Спасибо !

Напишу сюда, чтобы новую тему не создавать. Заодно и автору может быть полезным.

Я хочу собрать лог созданных файлов при установке программы. Для удобства взял инсталлер java.
Порядок действий такой: запуск procmon, установка java, остановка захвата событий в procmon, затем открываю дерево процессов и найдя запущенный установщик из-под explorer фильтрую события по нему с учётом дочерних процессов. Однако возникает проблемка - в список отфильтрованных событий не попадает часть файлов из каталога c:\Program Files\Java\jre1.8.0_311\bin. Это произошло потому что из-под wininit был запущен msiexec, который запускает явовский installer.exe. И вот... т.е. мне нужно анализировать получается вообще всё дерево? Я как-то сильно рассчитывал на "Add process and children to include filters", а этого получается недостаточно. Можно как-то связать эти события? Или в procmon как-то просто исключить все уже имеющиеся процессы до запуска установщика, но исключать не поодиночке потому что тот же wininit нельзя же исключать прямо с дочерними процессами.