Kadang-kadang saya perhatikan dalam aktivitas hard disk Resource Monitor terkait dengan file ETL di folder C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup.
Proses / layanan mana yang membuat file ETL ini dan apa tujuannya?
Resource Monitor menunjukkan "Sistem" sebagai proses yang benar karena jejak ETW (itulah file ETL) dibuat oleh kernel. Tapi saya tertarik pada proses yang menyebabkan jejak dibuat.
Ini terjadi pada Windows 7.
Saya menemukan jawabannya sendiri setelah menggali lebih banyak lagi.
Direktori C:\Windows\System32\LogFiles\WMI\RtBackupmenyimpan file jejak ETW (ekstensi .etl) untuk sesi pelacakan peristiwa waktu-nyata. Melihat ke direktori RtBackup agak sulit karena secara default hanya Sistem yang memiliki izin, tetapi aplikasi saya SetACL Studio tetap dapat menampilkan konten. Saat meletakkan konten direktori di sebelah daftar sesi penelusuran acara yang sedang berjalan, orang akan segera mengetahui kesamaannya:
Tidak setiap sesi sesi acara menghasilkan file di direktori RtBackup. Seperti namanya direktori, itu menyimpan cadangan untuk sesi jejak waktu nyata . Membandingkan daftar file di RtBackup dengan properti setiap sesi jejak menegaskan hal ini:
Saya berharap ini akan menjadi jawaban yang mudah, tapi saya rasa saya harus memaksa membaca / menulis file atau tahu kapan itu terjadi. Bagaimanapun, ini adalah apa yang saya coba harapkan untuk satu kali saja. Anda akan memerlukan utilitas pegangan dari SysInternals.
\path\to\handle.exe | find /i "etl"
Semoga beruntung dan selamat berburu.