Cosa è archiviato in% Windir% \ System32 \ LogFiles \ WMI \ RtBackup?


17

Di tanto in tanto noto l'attività del disco rigido di Resource Monitor relativa ai file ETL nella cartella C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup.

Quale processo / servizio crea questi file ETL e qual è il loro scopo?

Resource Monitor mostra "Sistema" come processo corretto poiché le tracce ETW (ovvero i file ETL) sono create dal kernel. Ma sono interessato al processo che causa la creazione delle tracce.

Questo succede su Windows 7, a proposito.

Risposte:


10

Ho trovato la risposta da solo dopo aver scavato un po 'di più.

La directory C:\Windows\System32\LogFiles\WMI\RtBackupmemorizza i file di traccia ETW (estensione .etl) per le sessioni di traccia degli eventi in tempo reale. Guardare nella directory RtBackup è un po 'difficile perché per impostazione predefinita solo il sistema ha autorizzazioni, ma la mia applicazione SetACL Studio può comunque visualizzare i contenuti. Quando si mette il contenuto della directory accanto all'elenco delle sessioni di traccia degli eventi in esecuzione, si notano immediatamente le somiglianze:

inserisci qui la descrizione dell'immagine

inserisci qui la descrizione dell'immagine

Non tutte le sessioni di traccia eventi generano un file nella directory RtBackup. Come suggerisce il nome della directory, memorizza i backup per sessioni di traccia in tempo reale . Il confronto dell'elenco di file in RtBackup con le proprietà di ciascuna sessione di traccia lo conferma:

inserisci qui la descrizione dell'immagine


2

Speravo che questa fosse una risposta facile, ma credo che dovrei forzare una lettura / scrittura del file o sapere quando sta accadendo. In ogni caso, questo è quello che ho provato sperando in una sola volta. Sarà necessaria l' utilità handle da SysInternals.

\path\to\handle.exe | find /i "etl"

Buona fortuna e buona caccia.


1
Il file ETL è accessibile dal kernel. Quello che vedo in Resource Monitor. La mia domanda è chi fa in modo che il kernel crei il file in primo luogo?
Helge Klein,

Ok. Possibile tecnica per determinare la tua risposta. Sono solo file di backup, quindi spostati ( non eliminarli ) in una posizione separata. Esegui Process Monitor . Crea un filtro sui nomi dei file e osserva le chiamate API del kernel e fino a quando non vengono create. Apparentemente potresti aver bisogno di coinvolgere i simboli di debug . So che questo non è un consiglio solido, ma questo è il modo migliore che mi viene in mente. Scusa se non aiuta troppo.
songei2f,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.