Я інколи помічаю в Resource Monitor активність на жорсткому диску, пов'язану з файлами ETL, у папці C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup.
Який процес / служба створює ці ETL-файли та яке їх призначення?
Монітор ресурсів показує "Система" як правильний процес, оскільки ядро створюються слідами ETW (тобто файлами ETL). Але мене цікавить процес, який спричиняє створення слідів.
Це відбувається до речі в Windows 7.
Відповіді:
Відповідь я знайшов сам, перекопавши ще дещо.
Каталог C:\Windows\System32\LogFiles\WMI\RtBackupзберігає файли слідів ETW (розширення .etl) для сеансів відстеження подій у режимі реального часу. Заглянути в каталог RtBackup - трохи важко, тому що за замовчуванням лише Система має дозволи, але моя програма SetACL Studio може відображати вміст у будь-якому випадку. Розміщуючи вміст каталогу поруч зі списком запущених сеансів відстеження подій, ви відразу помічаєте подібність:
Не кожен сеанс відстеження подій генерує файл у каталозі RtBackup. Як випливає з назви каталогу, він зберігає резервні копії для сеансів відстеження в реальному часі . Порівняння списку файлів у RtBackup із властивостями кожного сеансу відстеження підтверджує це:
Я сподівався, що це буде легкою відповіддю, але, мабуть, мені доведеться змусити прочитати / записати файл або знати, коли це відбувається. У будь-якому випадку, це те, що я намагався сподіватися на швидкий одноразовий. Вам знадобиться утиліта ручки від SysInternals.
\path\to\handle.exe | find /i "etl"
Удачі та щасливого полювання.