मैं कभी-कभी संसाधन मॉनिटर हार्ड डिस्क में फ़ोल्डर C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup से संबंधित गतिविधियों की सूचना देता हूं।
कौन सी प्रक्रिया / सेवा इन ईटीएल फाइलों को बनाती है और उनका उद्देश्य क्या है?
संसाधन मॉनिटर "सिस्टम" को उस प्रक्रिया के रूप में दिखाता है जो ईटीडब्ल्यू निशान के बाद से सही है (जो कि ईटीएल फाइलें हैं) कर्नेल द्वारा बनाई गई हैं। लेकिन मुझे इस प्रक्रिया में दिलचस्पी है जिससे निशान पैदा होते हैं।
यह विंडोज 7 पर होता है, वैसे।
जवाबों:
कुछ और आसपास खुदाई करने के बाद मुझे इसका जवाब मिला।
निर्देशिका C:\Windows\System32\LogFiles\WMI\RtBackupवास्तविक समय ईवेंट ट्रेस सत्रों के लिए ETW ट्रेस फ़ाइलों (एक्सटेंशन .etl) को संग्रहीत करती है। RtBackup निर्देशिका को देखना थोड़ा कठिन है क्योंकि डिफ़ॉल्ट रूप से केवल सिस्टम की अनुमति है, लेकिन मेरा एप्लिकेशन SetACL स्टूडियो वैसे भी सामग्री प्रदर्शित कर सकता है। चल रहे ईवेंट ट्रेस सत्रों की सूची के आगे निर्देशिका की सामग्री डालते समय, एक समानताओं को तुरंत नोटिस करता है:
प्रत्येक ईवेंट ट्रेस सत्र निर्देशिका RtBackup में एक फ़ाइल नहीं बनाता है। जैसा कि निर्देशिका के नाम का तात्पर्य है, यह वास्तविक समय ट्रेस सत्रों के लिए बैकअप संग्रहीत करता है । RtBackup में प्रत्येक ट्रेस सत्र के गुणों की फ़ाइलों की सूची की तुलना करना इस बात की पुष्टि करता है:
मैं उम्मीद कर रहा था कि यह एक आसान जवाब होगा, लेकिन मुझे लगता है कि मुझे फ़ाइल को पढ़ने / लिखने के लिए मजबूर करना होगा या पता होना चाहिए कि यह कब हो रहा है। किसी भी घटना में, यह वही है जो मैंने एक त्वरित वन-ऑफ़ की उम्मीद कर रहा था। आपको SysInternals से हैंडल की उपयोगिता की आवश्यकता होगी ।
\path\to\handle.exe | find /i "etl"
भाग्य अच्छा हो और हंटिंग के लिए बधाई।