Hel*_*ein 11
在挖掘更多内容后,我自己找到了答案。
该目录C:\Windows\System32\LogFiles\WMI\RtBackup存储实时事件跟踪会话的 ETW 跟踪文件(扩展名 .etl)。查看 RtBackup 目录有点困难,因为默认情况下只有 System 具有权限,但我的应用程序SetACL Studio无论如何都可以显示内容。当将目录的内容放在正在运行的事件跟踪会话列表旁边时,人们会立即注意到相似之处:
并非每个事件跟踪会话都会在 RtBackup 目录中生成一个文件。顾名思义,它存储实时跟踪会话的备份。将 RtBackup 中的文件列表与每个跟踪会话的属性进行比较证实了这一点:
| 归档时间: |
|
| 查看次数: |
53410 次 |
| 最近记录: |