Co jest przechowywane w% Windir% \ System32 \ LogFiles \ WMI \ RtBackup?

17

Czasami zauważam w Resource Monitor aktywność dysku twardego związaną z plikami ETL w folderze C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup.

Który proces / usługa tworzy te pliki ETL i jaki jest ich cel?

Monitor zasobów pokazuje „System” jako prawidłowy proces, ponieważ ślady ETW (czyli pliki ETL) są tworzone przez jądro. Ale interesuje mnie proces, który powoduje tworzenie śladów.

Nawiasem mówiąc, dzieje się tak w systemie Windows 7.

Helge Klein
źródło

Odpowiedzi:

10

Sam znalazłem odpowiedź po tym, jak jeszcze trochę przekopałem.

Katalog C:\Windows\System32\LogFiles\WMI\RtBackupprzechowuje pliki śledzenia ETW (rozszerzenie .etl) dla sesji śledzenia zdarzeń w czasie rzeczywistym. Przejrzenie katalogu RtBackup jest trochę trudne, ponieważ domyślnie tylko System ma uprawnienia, ale moja aplikacja SetACL Studio i tak może wyświetlać zawartość. Umieszczając zawartość katalogu obok listy uruchomionych sesji śledzenia zdarzeń, natychmiast zauważamy podobieństwa:

wprowadź opis zdjęcia tutaj

wprowadź opis zdjęcia tutaj

Nie każda sesja śledzenia zdarzeń generuje plik w katalogu RtBackup. Jak sugeruje nazwa katalogu, przechowuje kopie zapasowe dla sesji śledzenia w czasie rzeczywistym . Porównanie listy plików w RtBackup z właściwościami każdej sesji śledzenia potwierdza:

wprowadź opis zdjęcia tutaj

Helge Klein
źródło
2

Miałem nadzieję, że to będzie łatwa odpowiedź, ale myślę, że musiałbym wymusić odczyt / zapis pliku lub wiedzieć, kiedy to się dzieje. W każdym razie to właśnie próbowałem mieć nadzieję na szybki jednorazowy. Będziesz potrzebował narzędzia obsługi od SysInternals.

\path\to\handle.exe | find /i "etl"

Powodzenia i udanych polowań.

songei2f
źródło
1
Dostęp do pliku ETL ma jądro. Tyle widzę w Monitorze zasobów. Moje pytanie brzmi: kto sprawia, że ​​jądro tworzy plik?
Helge Klein,
Dobrze. Możliwa technika ustalenia odpowiedzi. Są to tylko pliki kopii zapasowych, więc przenieś ( nie usuwaj ) do osobnej lokalizacji. Uruchom Monitor procesu . Utwórz filtr do nazw plików i spójrz na wywołania interfejsu API jądra i aż do ich utworzenia. Najwyraźniej może być konieczne włączenie symboli debugowania . Wiem, że to nie jest solidna rada, ale to najlepszy sposób, jaki mogę wymyślić. Przepraszam, jeśli to nie pomaga zbytnio.
songei2f