Thỉnh thoảng tôi nhận thấy trong hoạt động của đĩa cứng Giám sát tài nguyên liên quan đến các tệp ETL trong thư mục C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup.
Quá trình / dịch vụ nào tạo ra các tệp ETL này và mục đích của chúng là gì?
Trình giám sát tài nguyên hiển thị "Hệ thống" là quy trình chính xác do dấu vết của ETW (đó là tệp ETL) được tạo bởi kernel. Nhưng tôi quan tâm đến quá trình gây ra dấu vết được tạo ra.
Điều này xảy ra trên Windows 7, nhân tiện.
Câu trả lời:
Tôi tìm thấy câu trả lời cho mình sau khi đào thêm một số.
Thư mục C:\Windows\System32\LogFiles\WMI\RtBackuplưu trữ các tệp theo dõi ETW (phần mở rộng .etl) cho các phiên theo dõi sự kiện theo thời gian thực. Nhìn vào thư mục RtBackup hơi khó khăn vì mặc định chỉ có Hệ thống mới có quyền, nhưng ứng dụng SetACL Studio của tôi vẫn có thể hiển thị nội dung. Khi đặt nội dung của thư mục bên cạnh danh sách các phiên theo dõi sự kiện đang chạy, người ta sẽ nhận thấy ngay những điểm tương đồng:
Không phải mọi phiên theo dõi sự kiện đều tạo một tệp trong thư mục RtBackup. Như tên của thư mục ngụ ý, nó lưu trữ các bản sao lưu cho các phiên theo dõi thời gian thực . So sánh danh sách các tệp trong RtBackup với các thuộc tính của phiên theo dõi xác nhận điều này:
Tôi đã hy vọng đây sẽ là một câu trả lời dễ dàng, nhưng tôi đoán rằng tôi sẽ phải buộc đọc / ghi tệp hoặc biết khi nào nó đang xảy ra. Trong mọi trường hợp, đây là những gì tôi đã cố gắng hy vọng một lần nhanh chóng. Bạn sẽ cần tiện ích xử lý từ SysIternals.
\path\to\handle.exe | find /i "etl"
Chúc may mắn và hạnh phúc săn bắn.