Windows system32 logfiles wmi rtbackup что это



Что хранится в% Windir% \ System32 \ LogFiles \ WMI \ RtBackup?

Я иногда замечаю в Resource Monitor активность жесткого диска, связанную с файлами ETL в папке C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup.

Какой процесс / служба создает эти файлы ETL и какова их цель?

Монитор ресурсов показывает «Система» как процесс, который является правильным, так как трассировки ETW (то есть, файлы ETL) создаются ядром. Но меня интересует процесс, который приводит к созданию следов.

Это происходит в Windows 7, кстати.

Я сам нашел ответ, еще немного покопавшись.

В каталоге C:\Windows\System32\LogFiles\WMI\RtBackup хранятся файлы трассировки ETW (расширение .etl) для сеансов трассировки событий в реальном времени. Смотреть в каталог RtBackup немного сложно, потому что по умолчанию только System имеет разрешения, но мое приложение SetACL Studio может отображать содержимое в любом случае. Помещая содержимое каталога рядом со списком запущенных сеансов трассировки событий, сразу же замечается сходство:

Не каждый сеанс трассировки событий генерирует файл в каталоге RtBackup. Как следует из названия каталога, он хранит резервные копии для сеансов трассировки в реальном времени . Сравнение списка файлов в RtBackup со свойствами каждого сеанса трассировки подтверждает это:

Я надеялся, что это будет простой ответ, но я предполагаю, что мне придется форсировать чтение / запись файла или знать, когда это происходит. В любом случае, это то, что я пытался надеяться на быстрый разовый. Вам понадобится утилита handle из SysInternals.

Источник

What is stored in %Windir%\System32\LogFiles\WMI\RtBackup?

I occasionally notice in Resource Monitor hard disk activity related to ETL files in the folder C:\Windows\System32\LogFiles\WMI\RtBackup.

Which process/service creates these ETL files and what is their purpose?

Resource Monitor shows «System» as the process which is correct since ETW traces (that is what ETL files are) are created by the kernel. But I am interested in the process that causes the traces to be created.

This happens on Windows 7, by the way.

2 Answers 2

I found the answer myself after digging around some more.

The directory C:\Windows\System32\LogFiles\WMI\RtBackup stores ETW trace files (extension .etl) for real time event trace sessions. Looking into the RtBackup directory is a little difficult because by default only System has permissions, but my application SetACL Studio can display the contents anyway. When putting the directory’s content next to the list of running event trace sessions, one immediately notices the similarities:

Not every event trace session generates a file in the directory RtBackup. As the directory’s name implies, it stores backups for real time trace sessions. Comparing the list of files in RtBackup to each trace session’s properties confirms this:

Источник

Что хранится в %Windir%\System%\System32\LogFiles\WMI\RtBackup?

Время от времени я замечаю в Resource Monitor активность жесткого диска, связанную с файлами ETL в папке C:\Windows\System32\LogFiles\WMI\RtBackup.

Какой процесс/служба создает эти ETL-файлы и каково их назначение?.

Монитор ресурсов показывает «Систему» как процесс, что правильно, поскольку трассы ETW (а именно это и есть файлы ETL) создаются ядром. Но меня интересует процесс, который вызывает создание трасс.

Кстати, это происходит в Windows 7.

Я сам нашел ответ, покопавшись еще немного.

В каталоге C:\Windows\System32\LogFiles\WMI\RtBackup хранятся файлы трассировки ETW (расширение .etl) для сеансов трассировки событий в реальном времени. Заглянуть в каталог RtBackup немного сложно, потому что по умолчанию только System имеет права доступа, но мое приложение SetACL Studio все равно может отобразить его содержимое. Если поместить содержимое каталога рядом со списком запущенных сеансов трассировки событий, то можно сразу заметить сходство:

Не каждый сеанс трассировки событий создает файл в каталоге RtBackup. Как следует из названия каталога, в нем хранятся резервные копии сеансов трассировки реального времени. Сравнение списка файлов в RtBackup со свойствами каждой сессии трассировки подтверждает это:

Источник

Windows system32 logfiles wmi rtbackup что это

Служба журнала событий, как следует из названия, представляет собой встроенную служебную программу Windows. Расположение программы журнала событий: C: Windows System32 svchost.exe. По сути, он регистрирует всю информацию, а также сообщения об ошибках в текстовом файле. Большинство внутренних системных заданий Windows зависят от службы журнала событий Windows. Горстка приложений Windows, таких как расписание задач, календарь или почта, не будет работать должным образом без этой службы. Следовательно, важно убедиться, что служба журнала событий Windows запущена и работает.

Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)

После этого, прежде чем мы перейдем к шагам по устранению неполадок, я бы порекомендовал вам сначала попробовать старый добрый перезапуск. Если это не сработает, мы можем продолжить работу с помощью следующих методов.

1. Запустите службу журнала Windows.

Прежде всего, мы можем попробовать запустить службу журнала событий Windows вручную. Для этого перейдите в меню «Выполнить», нажав Win + R, введите services.msc и нажмите Enter.

В меню «Службы» перейдите к службе журнала событий Windows.

Щелкните правой кнопкой мыши службу журнала событий Windows и нажмите кнопку Пуск. Если служба уже запущена, нажмите «Перезагрузить». Вам также может быть предложено ввести пароль администратора, введите его соответственно.

После успешного запуска службы журнала событий Windows ошибка должна быть устранена. Кроме того, убедитесь, что для параметра Тип запуска службы установлено значение Автоматически. Если это Вручную или пусто, вы можете изменить его в Свойствах.

2. Значение Regedit

Если вы не можете запустить службу журнала событий Windows, возможно, возникли проблемы с владельцем службы журнала событий Windows. Чтобы исправить это, нам нужно сначала проверить и убедиться, что владелец программы журнала Windows указан правильно. Это нужно сделать через редактор реестра.

Чтобы открыть редактор реестра, нажмите Win + R для доступа к меню «Выполнить», введите regedit и нажмите Enter.

В меню редактора реестра скопируйте и вставьте следующий URL-адрес.

HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet services eventlog

В папке журнала событий вы найдете ключ под названием «Имя объекта». Убедитесь, что значение ключа — NL AUTHORITY LocalService. Если значение пустое или другое, дважды щелкните его, чтобы изменить значение.

Во всплывающем окне измените данные значения на NL Authority LocalService. После этого нажмите кнопку ОК.

Теперь вы можете попробовать перезапустить службу журнала событий Windows из меню служб. Если у вас все еще возникают проблемы, переходите к следующему шагу.

3. Проверьте разрешения.

Еще одна причина сбоя запуска службы журнала событий Windows — неправильные разрешения для каталога журналов. Чтобы исправить это, перейдите в проводник Windows и скопируйте и вставьте следующий URL.

C: Windows System32 winevt Logs

Щелкните правой кнопкой мыши папку «Журналы» и выберите «Свойства».

В меню «Свойства» перейдите на вкладку «Безопасность».

На вкладке «Безопасность» щелкните профиль «СИСТЕМА» и убедитесь, что у него есть все разрешения на вкладке «Разрешения». После профиля SYSTEM проверьте наличие профилей администраторов и журнала событий.

Если для учетной записи не предоставлены полные разрешения, нажмите кнопку «Изменить» и предоставьте необходимые разрешения. Вы все еще сталкиваетесь с ошибкой «Служба журнала событий недоступна» на вашем компьютере с Windows?

4. Проверьте сохранение журнала.

Если описанные выше методы не устранили проблему, возможно, проблемы с заполнением фактических файлов журнала. Мы можем проверить статус файлов журнала через собственное приложение Window Viewer.

Перейдите в меню «Пуск» и введите «Просмотр событий». Когда появятся результаты, нажмите «Запуск от имени администратора».

В окне просмотра событий щелкните Журналы Windows. В Windows вы найдете журналы приложений, безопасности, установки, системы и перенаправленных событий. Нам нужно проверять каждое событие индивидуально. Но сначала давайте проверим журналы приложений.

Справа вы увидите параметр «Свойства». Щелкните по нему, чтобы открыть свойства журналов приложений.

Во всплывающем окне «Свойства журнала» убедитесь, что отмечена кнопка «Перезаписывать события по мере необходимости». Это гарантирует, что когда файлы журнала будут заполнены, они будут перезаписаны. Затем нажмите кнопку ОК.

Подобно свойствам приложения, нам нужно проверить другие 4 журнала на наличие той же опции. После этого перезагрузите систему Windows. Затем попробуйте перезапустить службу журнала событий Windows. Он должен начать нормально работать.

5. Очистите старые журналы

Даже после предоставления разрешений и полномочий, если служба событий журнала Windows не запускается, мы можем выполнить общую очистку папки RtBackup. Папка RtBackup содержит журналы событий приложений, ядер и системных проблем в реальном времени. Иногда более старые журналы могут вызывать сбой в работе службы журнала событий Windows.

Однако очистить эту папку непросто. Вам придется загрузиться в безопасном режиме и также изменить пару разрешений. Самый простой способ загрузиться в безопасном режиме — через конфигурацию Windows. Нажмите Win + R, чтобы вызвать меню «Выполнить», введите msconfig и нажмите Enter.

Щелкните вкладку «Загрузка» и установите флажок «Безопасная загрузка». Затем нажмите кнопку ОК.

После этого вы можете перезагрузить систему.

Теперь Windows должна загрузиться в безопасном режиме.

В безопасном режиме перейдите в следующее расположение файла.

C: Windows System32 LogFiles WMI RtBackup

По умолчанию папка RtBackup принадлежит Системе, и вы не можете открыть или удалить папку. Следовательно, щелкните его правой кнопкой мыши и выберите Свойства.

В меню «Свойства» перейдите на вкладку «Безопасность» и нажмите кнопку «Дополнительно».

Когда откроется вкладка «Расширенная безопасность», щелкните ссылку «Изменить» рядом с разделом «Владелец».

Во всплывающем окне введите свое имя пользователя в текстовое поле «Введите имя объекта для выбора» и нажмите кнопку «Проверить имена». Как только он определит ваше имя пользователя, нажмите кнопку ОК.

Если вы не знаете свое имя пользователя, перейдите в командную строку и просто введите whoami.

В меню «Расширенная безопасность» установите флажок «Заменить владельца подконтейнеров и объектов». Затем нажмите кнопку ОК, чтобы сохранить изменения.

После этого вы можете щелкнуть правой кнопкой мыши папку RtBackup и удалить ее или даже переименовать.

Затем перезагрузите компьютер с Windows, и проблема должна быть решена.

6. Резервное копирование и переустановка Windows.

Если ни один из вышеперечисленных способов не помог, к сожалению, придется переустановить Windows. Прежде всего, сделайте резервную копию своей машины с помощью стороннего бесплатного приложения для резервного копирования, прежде чем продолжить переустановку.

В заключение: служба журнала событий недоступна

Это были 5 изящных способов исправить ошибку Windows Event Log Service is Unavailable. Как только это будет исправлено, вы сможете нормально использовать свой компьютер с Windows.

Также читайте: 6 способов исправить ошибку 87 флага отложенного автозапуска в Windows 10

Программы для Windows, мобильные приложения, игры — ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале — Подписывайтесь:)

Источник

You may also like...