Was ist in% Windir% \ System32 \ LogFiles \ WMI \ RtBackup gespeichert?

17

Ich bemerke gelegentlich in Resource Monitor Festplattenaktivität im Zusammenhang mit ETL-Dateien im Ordner C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup.

Welcher Prozess / Dienst erstellt diese ETL-Dateien und wozu dienen sie?

Resource Monitor zeigt "System" als den Prozess an, der korrekt ist, da ETW-Traces (das sind die ETL-Dateien) vom Kernel erstellt werden. Aber ich interessiere mich für den Prozess, durch den die Spuren erzeugt werden.

Dies geschieht übrigens unter Windows 7.

Helge Klein
quelle

Antworten:

9

Ich fand die Antwort selbst, nachdem ich noch ein bisschen herumgebuddelt hatte.

Das Verzeichnis C:\Windows\System32\LogFiles\WMI\RtBackupspeichert ETW-Trace-Dateien (Erweiterung .etl) für Echtzeit-Ereignis-Trace-Sitzungen. Das Durchsuchen des RtBackup-Verzeichnisses ist etwas schwierig, da standardmäßig nur System Berechtigungen hat, aber meine Anwendung SetACL Studio den Inhalt trotzdem anzeigen kann. Wenn der Inhalt des Verzeichnisses neben die Liste der ausgeführten Ereignisablaufverfolgungssitzungen gestellt wird, werden die Ähnlichkeiten sofort bemerkt:

Bildbeschreibung hier eingeben

Bildbeschreibung hier eingeben

Nicht jede Ereignisablaufverfolgungssitzung generiert eine Datei im Verzeichnis RtBackup. Wie der Name des Verzeichnisses impliziert, werden Backups für Echtzeit- Trace-Sitzungen gespeichert. Das Vergleichen der Liste der Dateien in RtBackup mit den Eigenschaften der einzelnen Ablaufverfolgungssitzungen bestätigt Folgendes:

Bildbeschreibung hier eingeben

Helge Klein
quelle
2

Ich hatte gehofft, dass dies eine einfache Antwort sein würde, aber ich denke, ich müsste ein Lesen / Schreiben der Datei erzwingen oder wissen, wann es passiert. Auf jeden Fall habe ich versucht, auf ein schnelles Unikat zu hoffen. Sie benötigen das Handle- Dienstprogramm von SysInternals.

\path\to\handle.exe | find /i "etl"

Viel Glück und viel Spaß beim Jagen.

songei2f
quelle
1
Auf die ETL-Datei greift der Kernel zu. So viel sehe ich in Resource Monitor. Meine Frage ist, wer den Kernel überhaupt dazu bringt, die Datei zu erstellen?
Helge Klein
In Ordnung. Mögliche Technik, um Ihre Antwort zu bestimmen. Es handelt sich lediglich um Sicherungsdateien. Verschieben Sie sie an einen anderen Speicherort ( nicht löschen ). Führen Sie Process Monitor aus . Erstellen Sie einen Filter für die Dateinamen, und überprüfen Sie die Kernel-API-Aufrufe, bis sie erstellt wurden. Anscheinend müssen Sie möglicherweise die Debug-Symbole einbeziehen . Ich weiß, das ist kein solider Rat, aber das ist der beste Weg, den ich mir vorstellen kann. Entschuldigung, wenn es nicht zu viel hilft.
songei2f