% Windir % \ System32 \ LogFiles \ WMI \ RtBackup에 무엇이 저장되어 있습니까?


17

때때로 C : \ Windows \ System32 \ LogFiles \ WMI \ RtBackup 폴더의 ETL 파일과 관련된 리소스 모니터 하드 디스크 활동에 주목합니다.

어떤 프로세스 / 서비스가 이러한 ETL 파일을 작성하며 목적은 무엇입니까?

리소스 모니터는 커널에 의해 ETW 추적 (즉, ETL 파일)이 생성되므로 올바른 프로세스로 "시스템"을 표시합니다. 그러나 트레이스가 생성되는 프로세스에 관심이 있습니다.

그건 그렇고 Windows 7에서 발생합니다.

답변:


10

좀 더 파고 들자 마자 답을 찾았습니다.

디렉토리 C:\Windows\System32\LogFiles\WMI\RtBackup는 실시간 이벤트 추적 세션을위한 ETW 추적 파일 (확장자 .etl)을 저장합니다. RtBackup 디렉토리를 살펴 보는 것은 기본적으로 시스템에만 권한이 있기 때문에 조금 어렵지만 내 응용 프로그램 SetACL Studio 는 내용을 표시 할 수 있습니다. 실행중인 이벤트 추적 세션 목록 옆에 디렉토리의 내용을 넣으면 즉시 유사점을 발견합니다.

여기에 이미지 설명을 입력하십시오

여기에 이미지 설명을 입력하십시오

모든 이벤트 추적 세션이 RtBackup 디렉토리에 파일을 생성하는 것은 아닙니다. 디렉토리 이름에서 알 수 있듯이 실시간 추적 세션에 대한 백업을 저장 합니다. RtBackup의 파일 목록을 각 추적 세션의 속성과 비교하면 다음을 확인할 수 있습니다.

여기에 이미지 설명을 입력하십시오


2

나는 이것이 쉬운 대답이기를 바랐지만 파일을 강제로 읽거나 쓰거나 언제 발생하는지 알아야한다고 생각합니다. 어쨌든, 이것은 빠른 일회성을 기대하면서 시도한 것입니다. SysInternals 의 핸들 유틸리티 가 필요합니다 .

\path\to\handle.exe | find /i "etl"

행운과 행복한 사냥.


1
커널은 ETL 파일에 액세스합니다. 리소스 모니터에서 많이 볼 수 있습니다. 내 질문은 누가 커널이 처음에 파일을 만들게 하는가?
Helge Klein

확인. 답을 결정할 수있는 가능한 기술. 그들은 단지 백업 파일이므로 별도의 위치 로 이동하십시오 ( 삭제하지 마십시오 ). 프로세스 모니터를 실행하십시오 . 파일 이름에 대한 필터를 작성하고 커널 API 호출이 작성 될 때까지 확인하십시오. 분명히 디버그 심볼 이 필요하다 . 나는 이것이 확실한 조언이 아니라는 것을 알고 있지만 이것이 내가 생각할 수있는 가장 좋은 방법입니다. 너무 도움이되지 않으면 죄송합니다.
songei2f
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.