Ce este stocat în %Windir%System32LogFilesWMIRtBackup? (Administrarea sistemului, Windows, Fișiere, Wmi, Urmăriți)

Helge Klein a intrebat.

Din când în când observ în Resource Monitor o activitate pe hard disk legată de fișierele ETL din folderul C:WindowsSystem32LogFilesWMIRtBackup.

Ce proces/serviciu creează aceste fișiere ETL și care este scopul lor?

Resource Monitor arată „System” ca proces, ceea ce este corect, deoarece urmele ETW (adică ceea ce sunt fișierele ETL) sunt create de kernel. Dar mă interesează procesul care determină crearea urmelor.

Apropo, acest lucru se întâmplă pe Windows 7.

2 răspunsuri
Helge Klein

Am găsit și eu răspunsul după ce am mai cercetat puțin.

Directorul C:WindowsSystem32LogFilesWMIRtBackup stochează fișierele de urmărire ETW (extensia .etl) pentru sesiunile de urmărire a evenimentelor în timp real. Privind în directorul RtBackup este un pic dificil, deoarece în mod implicit doar System are permisiuni, dar aplicația mea SetACL Studio poate oricum să afișeze conținutul. Când se pune conținutul directorului lângă lista sesiunilor de urmărire a evenimentelor în curs de desfășurare, se observă imediat asemănările:

Nu toate sesiunile de urmărire a evenimentelor generează un fișier în directorul RtBackup. După cum sugerează și numele directorului, acesta stochează copii de rezervă pentru timp real sesiuni de urmărire în timp real. Compararea listei de fișiere din RtBackup cu proprietățile fiecărei sesiuni de urmărire confirmă acest lucru:

songei2f

Speram să fie un răspuns ușor, dar cred că ar trebui să forțez o citire/scriere a fișierului sau să știu când se întâmplă acest lucru. În orice caz, asta este ceea ce am încercat în speranța unei situații unice rapide. Veți avea nevoie de handle de la SysInternals.

pathtohandle.exe | find /i "etl"

Mult noroc și vânătoare fericită.

Comentarii

  • Fișierul ETL este accesat de către kernel. Asta văd în Resource Monitor. Întrebarea mea este cine face ca kernelul să creeze fișierul în primul rând? –  > Por Helge Klein.
  • Bine. Posibilă tehnică pentru a vă determina răspunsul. Sunt doar fișiere de rezervă, așa că mutați (nu ștergeți) într-o locație separată. Rulați Monitorul proceselor. Creați un filtru pe numele fișierelor și uitați-vă la apelurile API Kernel și până când acestea sunt create. Se pare că ar putea fi necesar să obțineți simbolurile de depanare implicate. Știu că nu este un sfat solid, dar aceasta este cea mai bună modalitate la care mă pot gândi. Îmi pare rău dacă nu ajută prea mult. –  > Por songei2f.