% Windir% \ System32 \ LogFiles \ WMI \ RtBackup में क्या संग्रहीत है?


17

मैं कभी-कभी संसाधन मॉनिटर हार्ड डिस्क में फ़ोल्डर C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup से संबंधित गतिविधियों की सूचना देता हूं।

कौन सी प्रक्रिया / सेवा इन ईटीएल फाइलों को बनाती है और उनका उद्देश्य क्या है?

संसाधन मॉनिटर "सिस्टम" को उस प्रक्रिया के रूप में दिखाता है जो ईटीडब्ल्यू निशान के बाद से सही है (जो कि ईटीएल फाइलें हैं) कर्नेल द्वारा बनाई गई हैं। लेकिन मुझे इस प्रक्रिया में दिलचस्पी है जिससे निशान पैदा होते हैं।

यह विंडोज 7 पर होता है, वैसे।

जवाबों:


10

कुछ और आसपास खुदाई करने के बाद मुझे इसका जवाब मिला।

निर्देशिका C:\Windows\System32\LogFiles\WMI\RtBackupवास्तविक समय ईवेंट ट्रेस सत्रों के लिए ETW ट्रेस फ़ाइलों (एक्सटेंशन .etl) को संग्रहीत करती है। RtBackup निर्देशिका को देखना थोड़ा कठिन है क्योंकि डिफ़ॉल्ट रूप से केवल सिस्टम की अनुमति है, लेकिन मेरा एप्लिकेशन SetACL स्टूडियो वैसे भी सामग्री प्रदर्शित कर सकता है। चल रहे ईवेंट ट्रेस सत्रों की सूची के आगे निर्देशिका की सामग्री डालते समय, एक समानताओं को तुरंत नोटिस करता है:

यहां छवि विवरण दर्ज करें

यहां छवि विवरण दर्ज करें

प्रत्येक ईवेंट ट्रेस सत्र निर्देशिका RtBackup में एक फ़ाइल नहीं बनाता है। जैसा कि निर्देशिका के नाम का तात्पर्य है, यह वास्तविक समय ट्रेस सत्रों के लिए बैकअप संग्रहीत करता है । RtBackup में प्रत्येक ट्रेस सत्र के गुणों की फ़ाइलों की सूची की तुलना करना इस बात की पुष्टि करता है:

यहां छवि विवरण दर्ज करें


2

मैं उम्मीद कर रहा था कि यह एक आसान जवाब होगा, लेकिन मुझे लगता है कि मुझे फ़ाइल को पढ़ने / लिखने के लिए मजबूर करना होगा या पता होना चाहिए कि यह कब हो रहा है। किसी भी घटना में, यह वही है जो मैंने एक त्वरित वन-ऑफ़ की उम्मीद कर रहा था। आपको SysInternals से हैंडल की उपयोगिता की आवश्यकता होगी ।

\path\to\handle.exe | find /i "etl"

भाग्य अच्छा हो और हंटिंग के लिए बधाई।


1
ETL फ़ाइल कर्नेल द्वारा एक्सेस की जाती है। इतना मुझे रिसोर्स मॉनिटर में दिखता है। मेरा सवाल यह है कि कर्नेल पहली जगह में फाइल कैसे बनाता है?
हेलिज क्लेन

ठीक है। आपको उत्तर देने के लिए संभव तकनीक। वे सिर्फ बैकअप फाइल हैं, इसलिए अलग स्थान पर ले जाएं ( डिलीट न करें )। प्रक्रिया मॉनिटर चलाएँ । फ़ाइल नामों पर एक फ़िल्टर बनाएं, और कर्नेल एपीआई कॉल को देखें और जब तक वे निर्मित न हों। जाहिर है आपको डिबग प्रतीकों को शामिल करने की आवश्यकता हो सकती है । मुझे पता है कि यह ठोस सलाह नहीं है, लेकिन यह सबसे अच्छा तरीका है जिसके बारे में मैं सोच सकता हूं। क्षमा करें यदि यह बहुत अधिक मदद नहीं करता है।
गीतई
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.