ฉันสังเกตเห็นเป็นครั้งคราวในกิจกรรมการตรวจสอบทรัพยากรฮาร์ดดิสก์ที่เกี่ยวข้องกับไฟล์ ETL ในโฟลเดอร์ C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup
กระบวนการ / บริการใดสร้างไฟล์ ETL เหล่านี้และจุดประสงค์ของมันคืออะไร
การตรวจสอบทรัพยากรแสดงให้เห็นว่า "ระบบ" เป็นกระบวนการที่ถูกต้องตั้งแต่ร่องรอย ETW (นั่นคือสิ่งที่ไฟล์ ETL) ถูกสร้างขึ้นโดยเคอร์เนล แต่ฉันสนใจในกระบวนการที่ทำให้ร่องรอยถูกสร้างขึ้น
สิ่งนี้เกิดขึ้นบน Windows 7 โดยวิธีการ
คำตอบ:
ฉันพบคำตอบด้วยตัวเองหลังจากขุดไปมากกว่านี้
ไดเร็กทอรีC:\Windows\System32\LogFiles\WMI\RtBackupเก็บไฟล์การติดตาม ETW (ส่วนขยาย. etl) สำหรับเซสชันการติดตามเหตุการณ์แบบเรียลไทม์ การค้นหาไดเรกทอรี RtBackup นั้นทำได้ยากนิดหน่อยเพราะโดยปกติแล้วระบบจะมีสิทธิ์ แต่แอปพลิเคชันของฉันSetACL Studioสามารถแสดงเนื้อหาได้ เมื่อวางเนื้อหาของไดเรกทอรีถัดจากรายการของเซสชันการสืบค้นกลับเหตุการณ์หนึ่งจะสังเกตเห็นความเหมือนกันทันที:
ไม่ใช่ทุกเซสชันของการติดตามเหตุการณ์ที่สร้างไฟล์ในไดเรกทอรี RtBackup ตามที่ชื่อของไดเรกทอรีบอกไว้มันจะสำรองข้อมูลสำหรับเซสชันการติดตามแบบเรียลไทม์ การเปรียบเทียบรายการไฟล์ใน RtBackup กับคุณสมบัติของแต่ละเซสชั่นการติดตามยืนยันสิ่งนี้:
ฉันหวังว่านี่จะเป็นคำตอบที่ง่าย แต่ฉันเดาว่าฉันจะต้องบังคับให้อ่าน / เขียนไฟล์หรือรู้ว่ามันเกิดขึ้นเมื่อใด ไม่ว่าในกรณีใด ๆ นี่คือสิ่งที่ฉันได้ลองด้วยความหวังว่าจะได้หนึ่งครั้งอย่างรวดเร็ว คุณจะต้องใช้ยูทิลิตีการจัดการจาก SysInternals
\path\to\handle.exe | find /i "etl"
ขอให้โชคดีและการล่าสัตว์ที่มีความสุข