那些遇到过的问题

%Windir%\System32\LogFiles\WMI\RtBackup 中存储了什么?

Hel*_*ein 18 windows files trace wmi

我偶尔会在资源监视器中注意到与文件夹 C:\Windows\System32\LogFiles\WMI\RtBackup 中的 ETL 文件相关的硬盘活动。

哪个进程/服务创建这些 ETL 文件,它们的目的是什么?

资源监视器将“系统”显示为正确的进程,因为 ETW 跟踪(即 ETL 文件)是由内核创建的。但我对导致创建痕迹的过程感兴趣。

顺便说一下,这发生在 Windows 7 上。

Hel*_*ein 11

在挖掘更多内容后,我自己找到了答案。

该目录C:\Windows\System32\LogFiles\WMI\RtBackup存储实时事件跟踪会话的 ETW 跟踪文件(扩展名 .etl)。查看 RtBackup 目录有点困难,因为默认情况下只有 System 具有权限,但我的应用程序SetACL Studio无论如何都可以显示内容。当将目录的内容放在正在运行的事件跟踪会话列表旁边时,人们会立即注意到相似之处:

在此处输入图片说明

在此处输入图片说明

并非每个事件跟踪会话都会在 RtBackup 目录中生成一个文件。顾名思义,它存储实时跟踪会话的备份。将 RtBackup 中的文件列表与每个跟踪会话的属性进行比较证实了这一点:

在此处输入图片说明

归档时间:

查看次数:

53410 次

最近记录:

9 年 前
相关归档
如何让 Firefox 信任系统 CA 证书? 33
如何定期清理 IIS 日志文件? 20
Microsoft-HTTPAPI/2.0 使用的端口 80 7
如何防止 IIS 在停止时接受 TCP 连接? 5
有时 Windows / .net 应用程序会忽略 tcp fin 标志 5
Windows Server 如何支持 TLS_FALLBACK_SCSV? 5
Windows 等效于 Linux 网络命名空间 5
DNS 问题 - Windows 2003 环境 4
为什么 nmap -p <port> 和 nmap -A 扫描显示不同的结果? 3
如何在 windows vista 上找到一个拥有某个端口的进程,以便我可以运行 vnc 0
难疑归档
适合拇指驱动器的好工具 184
使用初始命令运行交互式 bash 子外壳,而无需立即返回(“超级”)外壳 134
证书颁发机构根证书到期和续订 124
如何防止警告 No xauth data; 使用伪造的身份验证数据进行 X11 转发? 96
为什么要在 Linux 中删除缓存? 89
如何清除 Chrome 的 SSL 缓存? 89
dpkg-reconfigure:无法重新打开标准输入:没有文件或目录 88
为什么要阻止端口 22 出站? 72
如何在 LVM 中找到保存逻辑卷的物理卷 63
Ansible:仅当目标文件不存在时才复制模板 54