Что хранится в%Windir%\System32\LogFiles\WMI\RtBackup?
Я иногда замечаю в Resource Monitor активность жесткого диска, связанную с файлами ETL в папке C:\Windows\System32\LogFiles\WMI\RtBackup.
Какой процесс / служба создает эти файлы ETL и какова их цель?
Монитор ресурсов показывает "Система" как процесс, который является правильным, так как трассировки ETW (то есть, файлы ETL) создаются ядром. Но меня интересует процесс, который приводит к созданию следов.
Это происходит в Windows 7, кстати.
2 ответа
Я сам нашел ответ, еще немного покопавшись.
Каталог C:\Windows\System32\LogFiles\WMI\RtBackup хранит файлы трассировки ETW (расширение.etl) для сеансов трассировки событий в реальном времени. Смотреть в каталог RtBackup немного сложно, потому что по умолчанию только System имеет разрешения, но мое приложение SetACL Studio может отображать содержимое в любом случае. Помещая содержимое каталога рядом со списком запущенных сеансов трассировки событий, сразу же замечается сходство:
Не каждый сеанс трассировки событий генерирует файл в каталоге RtBackup. Как следует из названия каталога, он хранит резервные копии для сеансов трассировки в реальном времени. Сравнение списка файлов в RtBackup со свойствами каждого сеанса трассировки подтверждает это:
Я надеялся, что это будет простой ответ, но я предполагаю, что мне придется форсировать чтение / запись файла или знать, когда это происходит. В любом случае, это то, что я пытался надеяться на быстрый разовый. Вам понадобится дескриптор из SysInternals.
\path\to\handle.exe | find /i "etl"
Удачи и счастливой охоты.