Qu'est-ce qui est stocké dans% Windir% \ System32 \ LogFiles \ WMI \ RtBackup?

17

Je remarque parfois dans l'activité du disque dur du moniteur de ressources lié aux fichiers ETL dans le dossier C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup.

Quel processus / service crée ces fichiers ETL et quel est leur objectif?

Le Moniteur de ressources affiche "Système" comme le processus qui est correct puisque les traces ETW (c'est-à-dire les fichiers ETL) sont créées par le noyau. Mais je m'intéresse au processus qui provoque la création des traces.

Cela se produit d'ailleurs sur Windows 7.

Helge Klein
la source

Réponses:

10

J'ai trouvé la réponse moi-même après avoir creusé un peu plus.

Le répertoire C:\Windows\System32\LogFiles\WMI\RtBackupstocke les fichiers de trace ETW (extension .etl) pour les sessions de trace d'événement en temps réel. La recherche dans le répertoire RtBackup est un peu difficile car, par défaut, seul le système a des autorisations, mais mon application SetACL Studio peut quand même afficher le contenu. Lorsque vous placez le contenu du répertoire à côté de la liste des sessions de trace d'événement en cours d'exécution, on remarque immédiatement les similitudes:

entrez la description de l'image ici

entrez la description de l'image ici

Toutes les sessions de suivi d'événements ne génèrent pas de fichier dans le répertoire RtBackup. Comme son nom l'indique, il stocke des sauvegardes pour les sessions de trace en temps réel . La comparaison de la liste des fichiers dans RtBackup avec les propriétés de chaque session de trace confirme ceci:

entrez la description de l'image ici

Helge Klein
la source
2

J'espérais que ce serait une réponse facile, mais je suppose que je devrais forcer une lecture / écriture du fichier ou savoir quand cela se produit. En tout état de cause, c'est ce que j'ai essayé en espérant une ponctualité rapide. Vous aurez besoin de l' utilitaire de gestion de SysInternals.

\path\to\handle.exe | find /i "etl"

Bonne chance et bonne chasse.

songei2f
la source
1
Le fichier ETL est accessible par le noyau. C'est ce que je vois dans Resource Monitor. Ma question est qui fait que le noyau crée le fichier en premier lieu?
Helge Klein
D'accord. Technique possible pour déterminer votre réponse. Ce ne sont que des fichiers de sauvegarde, alors déplacez ( ne supprimez pas ) vers un emplacement séparé. Exécutez Process Monitor . Créez un filtre sur les noms de fichiers et examinez les appels de l'API du noyau et jusqu'à ce qu'ils soient créés. Apparemment, vous devrez peut-être impliquer les symboles de débogage . Je sais que ce n'est pas un conseil solide, mais c'est la meilleure façon de penser. Désolé si cela n'aide pas trop.
songei2f