Eu mesmo encontrei a resposta depois de pesquisar um pouco mais.
O diretório C:\Windows\System32\LogFiles\WMI\RtBackup
armazena arquivos de rastreamento ETW (extensão .etl) para sessões de rastreamento de eventos em tempo real. Olhando para o diretório RtBackup é um pouco difícil, porque por padrão apenas o sistema tem permissões, mas meu aplicativo SetACL Studio pode exibir o conteúdo de qualquer maneira . Ao colocar o conteúdo do diretório ao lado da lista de sessões de rastreamento de eventos em execução, percebe-se imediatamente as semelhanças:
Nem toda sessão de rastreamento de eventos gera um arquivo no diretório RtBackup. Como o nome do diretório implica, ele armazena backups para sessões de rastreamento em tempo real . Comparar a lista de arquivos no RtBackup com as propriedades de cada sessão de rastreamento confirma isso: