%Windir%\System32\LogFiles\WMI\RtBackup 中存储了什么?

%Windir%\System32\LogFiles\WMI\RtBackup 中存储了什么?

我偶尔会注意到资源监视器硬盘活动与文件夹 C:\Windows\System32\LogFiles\WMI\RtBackup 中的 ETL 文件有关。

哪个流程/服务创建这些 ETL 文件以及它们的用途是什么?

资源监视器显示“系统”为进程,这是正确的,因为 ETW 跟踪(即 ETL 文件)是由内核创建的。但我对导致创建跟踪的进程感兴趣。

顺便说一下,这在 Windows 7 上发生过。

答案1

经过进一步挖掘后,我自己找到了答案。

该目录C:\Windows\System32\LogFiles\WMI\RtBackup存储实时事件跟踪会话的 ETW 跟踪文件(扩展名为 .etl)。查看 RtBackup 目录有点困难,因为默认情况下只有系统才有权限,但我的应用程序设置ACL工作室无论如何都可以显示内容。当将目录的内容放在正在运行的事件跟踪会话列表旁边时,人们立即注意到相似之处:

在此处输入图片描述

在此处输入图片描述

并非每个事件跟踪会话都会在 RtBackup 目录中生成文件。顾名思义,该目录存储以下事件的备份:即时的跟踪会话。将 RtBackup 中的文件列表与每个跟踪会话的属性进行比较可以确认这一点:

在此处输入图片描述

答案2

我原本希望这是一个简单的答案,但我想我必须强制读取/写入文件或知道它何时发生。无论如何,这就是我尝试过的,希望能快速解决。您将需要处理SysInternals 的实用程序。

\path\to\handle.exe | find /i "etl"

祝你好运,狩猎愉快。

相关内容