Что хранится в% Windir% \ System32 \ LogFiles \ WMI \ RtBackup?
Я иногда замечаю в Resource Monitor активность жесткого диска, связанную с файлами ETL в папке C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup.
Какой процесс / служба создает эти файлы ETL и какова их цель?
Монитор ресурсов показывает «Система» как процесс, который является правильным, поскольку трассировки ETW (то есть файлы ETL) создаются ядром. Но меня интересует процесс, который вызывает появление следов.
Кстати, такое бывает в Windows 7.
Я сам нашел ответ, покопавшись еще немного.
Каталог C:\Windows\System32\LogFiles\WMI\RtBackup хранит файлы трассировки ETW (расширение .etl) для сеансов трассировки событий в реальном времени. Заглянуть в каталог RtBackup немного сложно, потому что по умолчанию разрешения есть только у System, но мое приложение SetACL Studio в любом случае может отображать содержимое. Помещая содержимое каталога рядом со списком запущенных сеансов трассировки событий, сразу замечаешь сходство:
Не каждый сеанс трассировки событий создает файл в каталоге RtBackup. Как следует из названия каталога, в нем хранятся резервные копии для реальное время трассировка сеансов. Это подтверждает сравнение списка файлов в RtBackup со свойствами каждой сессии трассировки:
Я надеялся, что это будет простой ответ, но думаю, мне придется принудительно выполнить чтение / запись файла или узнать, когда это происходит. В любом случае, это то, на что я надеялся быстро разовьется. Вам понадобится ручка утилита от SysInternals.
\path\to\handle.exe | find /i "etl"
Удачи и счастливой охоты.