Я иногда замечаю в Resource Monitor активность жесткого диска, связанную с файлами ETL в папке C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup.
Какой процесс / служба создает эти файлы ETL и какова их цель?
Монитор ресурсов показывает «Система» как процесс, который является правильным, так как трассировки ETW (то есть, файлы ETL) создаются ядром. Но меня интересует процесс, который приводит к созданию следов.
Это происходит в Windows 7, кстати.
Я сам нашел ответ, еще немного покопавшись.
В каталоге C:\Windows\System32\LogFiles\WMI\RtBackupхранятся файлы трассировки ETW (расширение .etl) для сеансов трассировки событий в реальном времени. Смотреть в каталог RtBackup немного сложно, потому что по умолчанию только System имеет разрешения, но мое приложение SetACL Studio может отображать содержимое в любом случае. Помещая содержимое каталога рядом со списком запущенных сеансов трассировки событий, сразу же замечается сходство:
Не каждый сеанс трассировки событий генерирует файл в каталоге RtBackup. Как следует из названия каталога, он хранит резервные копии для сеансов трассировки в реальном времени . Сравнение списка файлов в RtBackup со свойствами каждого сеанса трассировки подтверждает это:
Я надеялся, что это будет простой ответ, но я предполагаю, что мне придется форсировать чтение / запись файла или знать, когда это происходит. В любом случае, это то, что я пытался надеяться на быстрый разовый. Вам понадобится утилита handle из SysInternals.
\path\to\handle.exe | find /i "etl"
Удачи и счастливой охоты.