%Windir%\ System32 \ LogFiles \ WMI \ RtBackupには何が保存されていますか?
リソースモニターで、C:\ Windows\System32\LogFiles\WMI\RtBackupフォルダー内のETLファイルに関連するハードディスクアクティビティに気づくことがあります。
どのプロセス/サービスがこれらのETLファイルを作成し、それらの目的は何ですか?
リソースモニターは、ETWトレース(つまり、ETLファイル)がカーネルによって作成されるため、正しいプロセスとして「システム」を示します。ただし、トレースが作成されるプロセスに興味があります。
ちなみにこれはWindows 7で発生します。
さらに調べてみたところ、自分で答えを見つけました。
ディレクトリC:\Windows\System32\LogFiles\WMI\RtBackupは、リアルタイムイベントトレースセッションのETWトレースファイル(拡張子.etl)を格納します。デフォルトではSystemのみが権限を持っているため、RtBackupディレクトリの調査は少し難しいですが、私のアプリケーション SetACL Studio はとにかく内容を表示できます。実行中のイベントトレースセッションのリストの隣にディレクトリのコンテンツを置くと、すぐに類似点に気づきます。
すべてのイベントトレースセッションがディレクトリRtBackupにファイルを生成するわけではありません。ディレクトリの名前が示すように、リアルタイムトレースセッションのバックアップが保存されます。 RtBackup内のファイルのリストを各トレースセッションのプロパティと比較すると、これが確認されます。
これが簡単な答えになることを望んでいましたが、ファイルの読み取り/書き込みを強制するか、それがいつ発生するかを知る必要があると思います。いずれにせよ、これは私がすぐに1回限りのものを期待してみたことです。 SysInternalsの handle ユーティリティが必要です。
\path\to\handle.exe | find /i "etl"
幸運と幸せな狩猟。