什么存储在％Windir％\ System32 \ LogFiles \ WMI \ RtBackup中？

我偶尔会在资源监视器中注意到与文件夹C：\ Windows \ System32 \ LogFiles \ WMI \ RtBackup中的ETL文件相关的硬盘活动。

哪个进程/服务创建这些ETL文件，它们的目的是什么？

资源监视程序将“系统”显示为正确的过程，因为内核已创建了ETW跟踪（即ETL文件）。但是我对导致创建跟踪的过程感兴趣。

顺便说一句，这发生在Windows 7上。

在深入研究之后，我自己找到了答案。

该目录C:\Windows\System32\LogFiles\WMI\RtBackup存储用于实时事件跟踪会话的ETW跟踪文件（扩展名.etl）。进入RtBackup目录有点困难，因为默认情况下只有System拥有权限，但是我的应用程序SetACL Studio仍然可以显示内容。将目录的内容放在正在运行的事件跟踪会话列表的旁边时，会立即注意到相似之处：

并非每个事件跟踪会话都会在目录RtBackup中生成文件。顾名思义，该目录存储用于实时跟踪会话的备份。将RtBackup中的文件列表与每个跟踪会话的属性进行比较，可以确认这一点：

我希望这将是一个简单的答案，但是我想我将不得不强制对文件进行读/写或知道何时发生。无论如何，这就是我试图一次过一次的尝试。您将需要SysInternals 的handle实用程序。

\path\to\handle.exe | find /i "etl"

祝你好运，狩猎愉快。