%Windir%System32LogFilesWMIRtBackup 中儲存了什麼？

我偶爾會在資源監視器中註意到與文件夾 C:\Windows\System32\LogFiles\WMI\RtBackup 中的 ETL 文件相關的硬碟活動。

哪個程序/服務創建了這些 ETL 文件，它們的目的是什麼？

資源監視器將“系統”顯示為正確的程序，因為 ETW 跟踪（即 ETL 文件是什麼）是由核心創建的。但我對導致創建跟踪的過程感興趣。

順便說一句，這發生在 Windows 7 上。

在探勘了更多之後，我自己找到了答案。

該目錄C:\Windows\System32\LogFiles\WMI\RtBackup儲存用於實時事件跟踪會話的 ETW 跟踪文件（副檔名 .etl）。查看 RtBackup 目錄有點困難，因為預設情況下只有 System 具有權限，但我的應用程序SetACL Studio無論如何都可以顯示內容。將目錄的內容放在正在執行的事件跟踪會話列表旁邊時，會立即註意到相似之處：

並非每個事件跟踪會話都會在 RtBackup 目錄中生成一個文件。正如該目錄的名稱所暗示的，它儲存實時跟踪會話的備份。將 RtBackup 中的文件列表與每個跟踪會話的屬性進行比較可以確認這一點：

引用自：https://serverfault.com/questions/237637