답변:
좀 더 파고 들자 마자 답을 찾았습니다.
디렉토리 C:\Windows\System32\LogFiles\WMI\RtBackup
는 실시간 이벤트 추적 세션을위한 ETW 추적 파일 (확장자 .etl)을 저장합니다. RtBackup 디렉토리를 살펴 보는 것은 기본적으로 시스템에만 권한이 있기 때문에 조금 어렵지만 내 응용 프로그램 SetACL Studio 는 내용을 표시 할 수 있습니다. 실행중인 이벤트 추적 세션 목록 옆에 디렉토리의 내용을 넣으면 즉시 유사점을 발견합니다.
모든 이벤트 추적 세션이 RtBackup 디렉토리에 파일을 생성하는 것은 아닙니다. 디렉토리 이름에서 알 수 있듯이 실시간 추적 세션에 대한 백업을 저장 합니다. RtBackup의 파일 목록을 각 추적 세션의 속성과 비교하면 다음을 확인할 수 있습니다.
나는 이것이 쉬운 대답이기를 바랐지만 파일을 강제로 읽거나 쓰거나 언제 발생하는지 알아야한다고 생각합니다. 어쨌든, 이것은 빠른 일회성을 기대하면서 시도한 것입니다. SysInternals 의 핸들 유틸리티 가 필요합니다 .
\path\to\handle.exe | find /i "etl"
행운과 행복한 사냥.