@yossiz אמר במדריך לשימוש בסיסי בתוכנת Procmon:

הערה: אף פעם לא עמדתי על צורת ההרכבה של תנאים מרובים... האם זה OR או AND או האם אפשר לחבר חלק ב-OR וחלק ב-AND (לא נראה לי אפשרי, הלוואי...)... ניסוי וטעיה פשוט אמור להביא את התשובה... אם מישהו מתנדב לבדוק אשמח!

אני לא מבין איך עד היום הזה לא עמדתי על זה...
בעצם התשובה כתובה בקובץ העזרה של התוכנה

Process Monitor ORs together all the filters that are related to a
particular attribute type and ANDs together filters of different attribute
types.    

ובעברית:
בשלב הראשון: כל הסינונים שמסננים לפי אותו שדה מחוברים ביחד עם OR. בשלב הבא כל הסינונים המחוברים של השדות השונים מחוברים יחד עם AND.
נראה שאין אפשרות לשלוט על זה.

לפשט יותר, הנה דוגמה:
נניח שהוספנו ארבע כללים בסינונים:

• תציג שורות ששם התהליך כולל האותיות XYZ
• תציג שורות ששם התהליך מסתיים עם האותיות ABC
• תציג שורות ששם הנתיב מתחיל עם c:\ghi
• תציג שורות ששם הנתיב מסתיים באותיות jkl

איך כל הסינונים מתחברים יחד?
קודם מקבצים יחד את הסינונים שמדברים על אותו שדה. קיבלתי שתי קבוצות, 1) סינונים לפי שם תהליך 2) סינונים לפי נתיב
בכל קבוצה מחברים יחד את שני הסינונים עם OR. כלומר נחבר את שני הראשונים לקבל כלל שאומר:

• תציג שורות ששם התהליך כולל האותיות XYZ או מסתיים עם האותיות ABC

ושני האחרונים נחבר יחד לקבל כלל שאומר:

• תציג שורות ששם הנתיב מתחיל עם c:\ghi או מסתיים באותיות jkl

עכשיו שני הכללים האלו מתחברים יחד על ידי AND לקבל את הכלל הסופי שאומר:
תציג שורות ש-1) שם התהליך כולל האותיות XYZ או מסתיים עם האותיות ABC וגם 2) שם הנתיב מתחיל עם c:\ghi או מסתיים באותיות jkl

מקווה שזה ברור

נ.ב. עדיין לא ביררתי איך הכללים של include ו-exclude מתנהגים יחד