% Windir % \ System32 \ LogFiles \ WMI \ RtBackup에 무엇이 저장되어 있습니까?

때때로 C : \ Windows \ System32 \ LogFiles \ WMI \ RtBackup 폴더의 ETL 파일과 관련된 리소스 모니터 하드 디스크 활동에 주목합니다.

어떤 프로세스 / 서비스가 이러한 ETL 파일을 작성하며 목적은 무엇입니까?

리소스 모니터는 커널에 의해 ETW 추적 (즉, ETL 파일)이 생성되므로 올바른 프로세스로 "시스템"을 표시합니다. 그러나 트레이스가 생성되는 프로세스에 관심이 있습니다.

그건 그렇고 Windows 7에서 발생합니다.

좀 더 파고 들자 마자 답을 찾았습니다.

디렉토리 C:\Windows\System32\LogFiles\WMI\RtBackup는 실시간 이벤트 추적 세션을위한 ETW 추적 파일 (확장자 .etl)을 저장합니다. RtBackup 디렉토리를 살펴 보는 것은 기본적으로 시스템에만 권한이 있기 때문에 조금 어렵지만 내 응용 프로그램 SetACL Studio 는 내용을 표시 할 수 있습니다. 실행중인 이벤트 추적 세션 목록 옆에 디렉토리의 내용을 넣으면 즉시 유사점을 발견합니다.

모든 이벤트 추적 세션이 RtBackup 디렉토리에 파일을 생성하는 것은 아닙니다. 디렉토리 이름에서 알 수 있듯이 실시간 추적 세션에 대한 백업을 저장 합니다. RtBackup의 파일 목록을 각 추적 세션의 속성과 비교하면 다음을 확인할 수 있습니다.

나는 이것이 쉬운 대답이기를 바랐지만 파일을 강제로 읽거나 쓰거나 언제 발생하는지 알아야한다고 생각합니다. 어쨌든, 이것은 빠른 일회성을 기대하면서 시도한 것입니다. SysInternals 의 핸들 유틸리티 가 필요합니다 .

\path\to\handle.exe | find /i "etl"

행운과 행복한 사냥.