Apa yang disimpan di% Windir% \ System32 \ LogFiles \ WMI \ RtBackup?

17

Kadang-kadang saya perhatikan dalam aktivitas hard disk Resource Monitor terkait dengan file ETL di folder C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup.

Proses / layanan mana yang membuat file ETL ini dan apa tujuannya?

Resource Monitor menunjukkan "Sistem" sebagai proses yang benar karena jejak ETW (itulah file ETL) dibuat oleh kernel. Tapi saya tertarik pada proses yang menyebabkan jejak dibuat.

Ini terjadi pada Windows 7.

Helge Klein
sumber

Jawaban:

10

Saya menemukan jawabannya sendiri setelah menggali lebih banyak lagi.

Direktori C:\Windows\System32\LogFiles\WMI\RtBackupmenyimpan file jejak ETW (ekstensi .etl) untuk sesi pelacakan peristiwa waktu-nyata. Melihat ke direktori RtBackup agak sulit karena secara default hanya Sistem yang memiliki izin, tetapi aplikasi saya SetACL Studio tetap dapat menampilkan konten. Saat meletakkan konten direktori di sebelah daftar sesi penelusuran acara yang sedang berjalan, orang akan segera mengetahui kesamaannya:

masukkan deskripsi gambar di sini

masukkan deskripsi gambar di sini

Tidak setiap sesi sesi acara menghasilkan file di direktori RtBackup. Seperti namanya direktori, itu menyimpan cadangan untuk sesi jejak waktu nyata . Membandingkan daftar file di RtBackup dengan properti setiap sesi jejak menegaskan hal ini:

masukkan deskripsi gambar di sini

Helge Klein
sumber
2

Saya berharap ini akan menjadi jawaban yang mudah, tapi saya rasa saya harus memaksa membaca / menulis file atau tahu kapan itu terjadi. Bagaimanapun, ini adalah apa yang saya coba harapkan untuk satu kali saja. Anda akan memerlukan utilitas pegangan dari SysInternals.

\path\to\handle.exe | find /i "etl"

Semoga beruntung dan selamat berburu.

songei2f
sumber
1
File ETL diakses oleh kernel. Itu yang saya lihat di Resource Monitor. Pertanyaan saya adalah siapa yang membuat kernel membuat file di tempat pertama?
Helge Klein
Baik. Kemungkinan teknik untuk menentukan jawaban Anda. Itu hanya file cadangan, jadi pindahkan ( jangan hapus ) ke lokasi terpisah. Jalankan Monitor Proses . Buat filter pada nama file, dan lihat panggilan Kernel API dan sampai dibuat. Tampaknya Anda perlu melibatkan simbol debug . Saya tahu ini bukan nasihat yang solid, tetapi ini adalah cara terbaik yang dapat saya pikirkan. Maaf jika itu tidak banyak membantu.
songei2f