O que é armazenado em% Windir% \ System32 \ LogFiles \ WMI \ RtBackup?

Eu mesmo encontrei a resposta depois de pesquisar um pouco mais.

O diretório C:\Windows\System32\LogFiles\WMI\RtBackup armazena arquivos de rastreamento ETW (extensão .etl) para sessões de rastreamento de eventos em tempo real. Olhando para o diretório RtBackup é um pouco difícil, porque por padrão apenas o sistema tem permissões, mas meu aplicativo SetACL Studio pode exibir o conteúdo de qualquer maneira . Ao colocar o conteúdo do diretório ao lado da lista de sessões de rastreamento de eventos em execução, percebe-se imediatamente as semelhanças:

Nem toda sessão de rastreamento de eventos gera um arquivo no diretório RtBackup. Como o nome do diretório implica, ele armazena backups para sessões de rastreamento em tempo real . Comparar a lista de arquivos no RtBackup com as propriedades de cada sessão de rastreamento confirma isso:

Eu esperava que essa fosse uma resposta fácil, mas acho que teria que forçar uma leitura / gravação do arquivo ou saber quando isso está acontecendo. De qualquer forma, isso é o que eu tentei esperar por um rápido one-off. Você precisará do utilitário handle da SysInternals.

\path\to\handle.exe | find /i "etl"

Boa sorte e feliz caçada.