Zaman zaman Kaynak İzleyicisi sabit disk etkinliğinde C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup klasöründeki ETL dosyaları ile ilgili olarak fark ettim.
Hangi işlem / hizmet bu ETL dosyalarını oluşturur ve amaçları nedir?
Kaynak Monitörü, çekirdek tarafından ETW izleri (yani ETL dosyalarının oluşturulduğu) oluşturulduğundan, "Sistem" i doğru olan işlem olarak gösterir. Ama izlerin yaratılmasına neden olan süreçle ilgileniyorum.
Bu arada, Windows 7'de olur.
Yanıtlar:
Biraz daha araştırdıktan sonra cevabı kendim buldum.
Dizin C:\Windows\System32\LogFiles\WMI\RtBackup, ETW izleme dosyalarını (.etl uzantısı) gerçek zamanlı olay izleme oturumları için saklar. RtBackup dizinine bakmak biraz zordur, çünkü varsayılan olarak sadece Sistem izinleri vardır, ancak uygulamam SetACL Studio içeriği yine de görüntüleyebilir. Yönetmenin içeriğini çalışan etkinlik izleme oturumları listesinin yanına koyarken, hemen benzerlikler fark edilir:
Her olay izleme oturumu RtBackup dizininde bir dosya oluşturmaz. Yönetmenin adından da anlaşılacağı gibi, gerçek zamanlı izleme oturumları için yedekleri depolar . RtBackup içindeki dosyaların listesini her izleme oturumunun özellikleriyle karşılaştırmak bunu doğrular:
Bunun kolay bir cevap olacağını umuyordum, ama sanırım dosyanın okunmasını / yazılmasını zorlamak veya ne zaman olduğunu bilmek zorundayım. Her halükarda, hızlı bir kerelik umuduyla bunu denedim. SysInternals'ın tanıtıcı yardımcı programına ihtiyacınız olacak .
\path\to\handle.exe | find /i "etl"
İyi şanslar ve mutlu avlar.