Czasami zauważam w Resource Monitor aktywność dysku twardego związaną z plikami ETL w folderze C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup.
Który proces / usługa tworzy te pliki ETL i jaki jest ich cel?
Monitor zasobów pokazuje „System” jako prawidłowy proces, ponieważ ślady ETW (czyli pliki ETL) są tworzone przez jądro. Ale interesuje mnie proces, który powoduje tworzenie śladów.
Nawiasem mówiąc, dzieje się tak w systemie Windows 7.
Sam znalazłem odpowiedź po tym, jak jeszcze trochę przekopałem.
Katalog C:\Windows\System32\LogFiles\WMI\RtBackupprzechowuje pliki śledzenia ETW (rozszerzenie .etl) dla sesji śledzenia zdarzeń w czasie rzeczywistym. Przejrzenie katalogu RtBackup jest trochę trudne, ponieważ domyślnie tylko System ma uprawnienia, ale moja aplikacja SetACL Studio i tak może wyświetlać zawartość. Umieszczając zawartość katalogu obok listy uruchomionych sesji śledzenia zdarzeń, natychmiast zauważamy podobieństwa:
Nie każda sesja śledzenia zdarzeń generuje plik w katalogu RtBackup. Jak sugeruje nazwa katalogu, przechowuje kopie zapasowe dla sesji śledzenia w czasie rzeczywistym . Porównanie listy plików w RtBackup z właściwościami każdej sesji śledzenia potwierdza:
Miałem nadzieję, że to będzie łatwa odpowiedź, ale myślę, że musiałbym wymusić odczyt / zapis pliku lub wiedzieć, kiedy to się dzieje. W każdym razie to właśnie próbowałem mieć nadzieję na szybki jednorazowy. Będziesz potrzebował narzędzia obsługi od SysInternals.
\path\to\handle.exe | find /i "etl"
Powodzenia i udanych polowań.