Di tanto in tanto noto l'attività del disco rigido di Resource Monitor relativa ai file ETL nella cartella C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup.
Quale processo / servizio crea questi file ETL e qual è il loro scopo?
Resource Monitor mostra "Sistema" come processo corretto poiché le tracce ETW (ovvero i file ETL) sono create dal kernel. Ma sono interessato al processo che causa la creazione delle tracce.
Questo succede su Windows 7, a proposito.
Risposte:
Ho trovato la risposta da solo dopo aver scavato un po 'di più.
La directory C:\Windows\System32\LogFiles\WMI\RtBackupmemorizza i file di traccia ETW (estensione .etl) per le sessioni di traccia degli eventi in tempo reale. Guardare nella directory RtBackup è un po 'difficile perché per impostazione predefinita solo il sistema ha autorizzazioni, ma la mia applicazione SetACL Studio può comunque visualizzare i contenuti. Quando si mette il contenuto della directory accanto all'elenco delle sessioni di traccia degli eventi in esecuzione, si notano immediatamente le somiglianze:
Non tutte le sessioni di traccia eventi generano un file nella directory RtBackup. Come suggerisce il nome della directory, memorizza i backup per sessioni di traccia in tempo reale . Il confronto dell'elenco di file in RtBackup con le proprietà di ciascuna sessione di traccia lo conferma:
Speravo che questa fosse una risposta facile, ma credo che dovrei forzare una lettura / scrittura del file o sapere quando sta accadendo. In ogni caso, questo è quello che ho provato sperando in una sola volta. Sarà necessaria l' utilità handle da SysInternals.
\path\to\handle.exe | find /i "etl"
Buona fortuna e buona caccia.