％Windir％\ System32 \ LogFiles \ WMI \ RtBackupには何が保存されていますか？

リソースモニターで、フォルダーC：\ Windows \ System32 \ LogFiles \ WMI \ RtBackupのETLファイルに関連するハードディスクアクティビティに時々気づきます。

これらのETLファイルを作成するプロセス/サービスとその目的は何ですか？

リソースモニターは、ETWトレース（つまりETLファイル）がカーネルによって作成されるため、正しいプロセスとして「システム」を表示します。しかし、トレースを作成するプロセスに興味があります。

ちなみに、これはWindows 7で発生します。

私はもう少し掘り下げた後、自分で答えを見つけました。

ディレクトリにC:\Windows\System32\LogFiles\WMI\RtBackupは、リアルタイムイベントトレースセッション用のETWトレースファイル（拡張子.etl）が格納されます。RtBackupディレクトリを調べることは、デフォルトではシステムのみに権限があるため少し難しいですが、私のアプリケーションSetACL Studioはとにかくコンテンツを表示できます。実行中のイベントトレースセッションのリストの横にディレクトリのコンテンツを置くと、すぐに類似点に気付くことがあります。

すべてのイベントトレースセッションがディレクトリRtBackupにファイルを生成するわけではありません。ディレクトリの名前が示すように、リアルタイムトレースセッションのバックアップを保存します。RtBackupのファイルのリストを各トレースセッションのプロパティと比較すると、これが確認されます。

これが簡単な答えになることを望んでいましたが、ファイルの読み取り/書き込みを強制するか、いつ発生するかを知る必要があると思います。いずれにせよ、これは私が簡単な1回限りの結果を期待していたことです。SysInternals のハンドルユーティリティが必要になります。

\path\to\handle.exe | find /i "etl"

幸運と幸せな狩猟。