O que é armazenado em% Windir% \ System32 \ LogFiles \ WMI \ RtBackup?

17

Ocasionalmente, percebo na atividade do disco rígido do Monitor de Recursos relacionada aos arquivos ETL na pasta C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup.

Qual processo / serviço cria esses arquivos ETL e qual é o seu objetivo?

O Monitor de Recursos mostra "Sistema" como o processo correto, pois os rastreamentos ETW (que são os arquivos ETL) são criados pelo kernel. Mas estou interessado no processo que faz com que os rastreamentos sejam criados.

Isso acontece no Windows 7, a propósito.

Helge Klein
fonte

Respostas:

10

Encontrei a resposta depois de procurar um pouco mais.

O diretório C:\Windows\System32\LogFiles\WMI\RtBackuparmazena arquivos de rastreamento ETW (extensão .etl) para sessões de rastreamento de eventos em tempo real. Olhar para o diretório RtBackup é um pouco difícil porque, por padrão, apenas o Sistema tem permissões, mas meu aplicativo SetACL Studio pode exibir o conteúdo de qualquer maneira. Ao colocar o conteúdo do diretório próximo à lista de sessões de rastreamento de eventos em execução, notamos imediatamente as semelhanças:

insira a descrição da imagem aqui

insira a descrição da imagem aqui

Nem toda sessão de rastreamento de eventos gera um arquivo no diretório RtBackup. Como o nome do diretório implica, ele armazena backups para sessões de rastreamento em tempo real . A comparação da lista de arquivos no RtBackup com as propriedades de cada sessão de rastreamento confirma isso:

insira a descrição da imagem aqui

Helge Klein
fonte
2

Eu esperava que essa fosse uma resposta fácil, mas acho que teria que forçar uma leitura / gravação do arquivo ou saber quando ele está acontecendo. De qualquer forma, foi isso que tentei esperar por um rápido retorno. Você precisará do utilitário de manipulação da SysInternals.

\path\to\handle.exe | find /i "etl"

Boa sorte e boa caçada.

songei2f
fonte
1
O arquivo ETL é acessado pelo kernel. Isso eu vejo no Resource Monitor. Minha pergunta é quem faz o kernel criar o arquivo em primeiro lugar?
precisa
Está bem. Técnica possível para determinar sua resposta. Eles são apenas arquivos de backup; portanto, mova ( não exclua ) para um local separado. Execute o Process Monitor . Crie um filtro nos nomes dos arquivos e observe as chamadas da API do Kernel e até que sejam criadas. Aparentemente, você pode precisar envolver os símbolos de depuração . Sei que esse conselho não é sólido, mas é a melhor maneira de pensar. Desculpe se isso não ajuda muito.
songei2f