I occasionally notice in Resource Monitor hard disk activity related to ETL files in the folder C:\Windows\System32\LogFiles\WMI\RtBackup.
Which process/service creates these ETL files and what is their purpose?
Resource Monitor shows «System» as the process which is correct since ETW traces (that is what ETL files are) are created by the kernel. But I am interested in the process that causes the traces to be created.
This happens on Windows 7, by the way.
asked Feb 19, 2011 at 14:41
I found the answer myself after digging around some more.
The directory C:\Windows\System32\LogFiles\WMI\RtBackup stores ETW trace files (extension .etl) for real time event trace sessions. Looking into the RtBackup directory is a little difficult because by default only System has permissions, but my application SetACL Studio can display the contents anyway. When putting the directory’s content next to the list of running event trace sessions, one immediately notices the similarities:
Not every event trace session generates a file in the directory RtBackup. As the directory’s name implies, it stores backups for real time trace sessions. Comparing the list of files in RtBackup to each trace session’s properties confirms this:
answered Feb 7, 2012 at 12:50
Helge KleinHelge Klein
2,1011 gold badge16 silver badges22 bronze badges
I was hoping this would be an easy answer, but I guess I would have to force a read/write of the file or know when it is happening. In any event, this is what I tried hoping for a quick one-off. You will need the handle utility from SysInternals.
\path\to\handle.exe | find /i "etl"
Good luck and happy hunting.
answered Feb 19, 2011 at 17:34
songei2fsongei2f
1,9341 gold badge20 silver badges30 bronze badges
2
You must log in to answer this question.
Not the answer you’re looking for? Browse other questions tagged
.
Not the answer you’re looking for? Browse other questions tagged
.
«Служба журнала событий недоступна» – это хорошо известная ошибка Windows. Я неоднократно сталкивался с этой проблемой за время длительного использования Windows. В большинстве случаев причиной является либо испорченные права доступа к файлам, либо невозможность перезапуска службы событий журнала Windows. Вот как вы можете быстро все это исправить.
Служба журнала событий недоступна
Что такое служба журнала событий?
Служба журнала событий, как следует из названия, представляет собой встроенную служебную программу Windows. Расположение программы журнала событий: C: Windows System32 svchost.exe. По сути, он регистрирует всю информацию, а также сообщения об ошибках в текстовом файле. Большинство внутренних системных заданий Windows зависят от службы журнала событий Windows. Горстка приложений Windows, таких как расписание задач, календарь или почта, не будет работать должным образом без этой службы. Следовательно, важно убедиться, что служба журнала событий Windows запущена и работает.
После этого, прежде чем мы перейдем к шагам по устранению неполадок, я бы порекомендовал вам сначала попробовать старый добрый перезапуск. Если это не сработает, мы можем продолжить работу с помощью следующих методов.
1. Запустите службу журнала Windows.
Прежде всего, мы можем попробовать запустить службу журнала событий Windows вручную. Для этого перейдите в меню «Выполнить», нажав Win + R, введите services.msc и нажмите Enter.
В меню «Службы» перейдите к службе журнала событий Windows.
Щелкните правой кнопкой мыши службу журнала событий Windows и нажмите кнопку Пуск. Если служба уже запущена, нажмите «Перезагрузить». Вам также может быть предложено ввести пароль администратора, введите его соответственно.
После успешного запуска службы журнала событий Windows ошибка должна быть устранена. Кроме того, убедитесь, что для параметра Тип запуска службы установлено значение Автоматически. Если это Вручную или пусто, вы можете изменить его в Свойствах.
2. Значение Regedit
Если вы не можете запустить службу журнала событий Windows, возможно, возникли проблемы с владельцем службы журнала событий Windows. Чтобы исправить это, нам нужно сначала проверить и убедиться, что владелец программы журнала Windows указан правильно. Это нужно сделать через редактор реестра.
Чтобы открыть редактор реестра, нажмите Win + R для доступа к меню «Выполнить», введите regedit и нажмите Enter.
В меню редактора реестра скопируйте и вставьте следующий URL-адрес.
HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet services eventlog
В папке журнала событий вы найдете ключ под названием «Имя объекта». Убедитесь, что значение ключа – NL AUTHORITY LocalService. Если значение пустое или другое, дважды щелкните его, чтобы изменить значение.
Во всплывающем окне измените данные значения на NL Authority LocalService. После этого нажмите кнопку ОК.
Теперь вы можете попробовать перезапустить службу журнала событий Windows из меню служб. Если у вас все еще возникают проблемы, переходите к следующему шагу.
3. Проверьте разрешения.
Еще одна причина сбоя запуска службы журнала событий Windows – неправильные разрешения для каталога журналов. Чтобы исправить это, перейдите в проводник Windows и скопируйте и вставьте следующий URL.
C: Windows System32 winevt Logs
Щелкните правой кнопкой мыши папку “Журналы” и выберите “Свойства”.
В меню «Свойства» перейдите на вкладку «Безопасность».
На вкладке «Безопасность» щелкните профиль «СИСТЕМА» и убедитесь, что у него есть все разрешения на вкладке «Разрешения». После профиля SYSTEM проверьте наличие профилей администраторов и журнала событий.
Если для учетной записи не предоставлены полные разрешения, нажмите кнопку «Изменить» и предоставьте необходимые разрешения. Вы все еще сталкиваетесь с ошибкой «Служба журнала событий недоступна» на вашем компьютере с Windows?
4. Проверьте сохранение журнала.
Если описанные выше методы не устранили проблему, возможно, проблемы с заполнением фактических файлов журнала. Мы можем проверить статус файлов журнала через собственное приложение Window Viewer.
Перейдите в меню «Пуск» и введите «Просмотр событий». Когда появятся результаты, нажмите «Запуск от имени администратора».
В окне просмотра событий щелкните Журналы Windows. В Windows вы найдете журналы приложений, безопасности, установки, системы и перенаправленных событий. Нам нужно проверять каждое событие индивидуально. Но сначала давайте проверим журналы приложений.
Справа вы увидите параметр «Свойства». Щелкните по нему, чтобы открыть свойства журналов приложений.
Во всплывающем окне «Свойства журнала» убедитесь, что отмечена кнопка «Перезаписывать события по мере необходимости». Это гарантирует, что когда файлы журнала будут заполнены, они будут перезаписаны. Затем нажмите кнопку ОК.
Подобно свойствам приложения, нам нужно проверить другие 4 журнала на наличие той же опции. После этого перезагрузите систему Windows. Затем попробуйте перезапустить службу журнала событий Windows. Он должен начать нормально работать.
5. Очистите старые журналы
Даже после предоставления разрешений и полномочий, если служба событий журнала Windows не запускается, мы можем выполнить общую очистку папки RtBackup. Папка RtBackup содержит журналы событий приложений, ядер и системных проблем в реальном времени. Иногда более старые журналы могут вызывать сбой в работе службы журнала событий Windows.
Однако очистить эту папку непросто. Вам придется загрузиться в безопасном режиме и также изменить пару разрешений. Самый простой способ загрузиться в безопасном режиме – через конфигурацию Windows. Нажмите Win + R, чтобы вызвать меню «Выполнить», введите msconfig и нажмите Enter.
Щелкните вкладку «Загрузка» и установите флажок «Безопасная загрузка». Затем нажмите кнопку ОК.
После этого вы можете перезагрузить систему.
Теперь Windows должна загрузиться в безопасном режиме.
В безопасном режиме перейдите в следующее расположение файла.
C: Windows System32 LogFiles WMI RtBackup
По умолчанию папка RtBackup принадлежит Системе, и вы не можете открыть или удалить папку. Следовательно, щелкните его правой кнопкой мыши и выберите Свойства.
В меню «Свойства» перейдите на вкладку «Безопасность» и нажмите кнопку «Дополнительно».
Когда откроется вкладка «Расширенная безопасность», щелкните ссылку «Изменить» рядом с разделом «Владелец».
Во всплывающем окне введите свое имя пользователя в текстовое поле «Введите имя объекта для выбора» и нажмите кнопку «Проверить имена». Как только он определит ваше имя пользователя, нажмите кнопку ОК.
Если вы не знаете свое имя пользователя, перейдите в командную строку и просто введите whoami.
В меню «Расширенная безопасность» установите флажок «Заменить владельца подконтейнеров и объектов». Затем нажмите кнопку ОК, чтобы сохранить изменения.
После этого вы можете щелкнуть правой кнопкой мыши папку RtBackup и удалить ее или даже переименовать.
Затем перезагрузите компьютер с Windows, и проблема должна быть решена.
6. Резервное копирование и переустановка Windows.
Если ни один из вышеперечисленных способов не помог, к сожалению, придется переустановить Windows. Прежде всего, сделайте резервную копию своей машины с помощью стороннего бесплатного приложения для резервного копирования, прежде чем продолжить переустановку.
В заключение: служба журнала событий недоступна
Это были 5 изящных способов исправить ошибку Windows Event Log Service is Unavailable. Как только это будет исправлено, вы сможете нормально использовать свой компьютер с Windows.
Также читайте: 6 способов исправить ошибку 87 флага отложенного автозапуска в Windows 10
Я иногда замечаю в Resource Monitor активность жесткого диска, связанную с файлами ETL в папке C: \ Windows \ System32 \ LogFiles \ WMI \ RtBackup.
Какой процесс / служба создает эти файлы ETL и какова их цель?
Монитор ресурсов показывает «Система» как процесс, который является правильным, так как трассировки ETW (то есть, файлы ETL) создаются ядром. Но меня интересует процесс, который приводит к созданию следов.
Это происходит в Windows 7, кстати.
Ответы:
Я сам нашел ответ, еще немного покопавшись.
В каталоге C:\Windows\System32\LogFiles\WMI\RtBackupхранятся файлы трассировки ETW (расширение .etl) для сеансов трассировки событий в реальном времени. Смотреть в каталог RtBackup немного сложно, потому что по умолчанию только System имеет разрешения, но мое приложение SetACL Studio может отображать содержимое в любом случае. Помещая содержимое каталога рядом со списком запущенных сеансов трассировки событий, сразу же замечается сходство:
Не каждый сеанс трассировки событий генерирует файл в каталоге RtBackup. Как следует из названия каталога, он хранит резервные копии для сеансов трассировки в реальном времени . Сравнение списка файлов в RtBackup со свойствами каждого сеанса трассировки подтверждает это:
Я надеялся, что это будет простой ответ, но я предполагаю, что мне придется форсировать чтение / запись файла или знать, когда это происходит. В любом случае, это то, что я пытался надеяться на быстрый разовый. Вам понадобится утилита handle из SysInternals.
\path\to\handle.exe | find /i "etl"
Удачи и счастливой охоты.
I occasionally notice in Resource Monitor hard disk activity related to ETL files in the folder C:\Windows\System32\LogFiles\WMI\RtBackup.
Which process/service creates these ETL files and what is their purpose?
Resource Monitor shows «System» as the process which is correct since ETW traces (that is what ETL files are) are created by the kernel. But I am interested in the process that causes the traces to be created.
This happens on Windows 7, by the way.
asked Feb 19, 2011 at 14:41
I found the answer myself after digging around some more.
The directory C:\Windows\System32\LogFiles\WMI\RtBackup stores ETW trace files (extension .etl) for real time event trace sessions. Looking into the RtBackup directory is a little difficult because by default only System has permissions, but my application SetACL Studio can display the contents anyway. When putting the directory’s content next to the list of running event trace sessions, one immediately notices the similarities:
Not every event trace session generates a file in the directory RtBackup. As the directory’s name implies, it stores backups for real time trace sessions. Comparing the list of files in RtBackup to each trace session’s properties confirms this:
answered Feb 7, 2012 at 12:50
Helge KleinHelge Klein
2,1011 gold badge16 silver badges22 bronze badges
I was hoping this would be an easy answer, but I guess I would have to force a read/write of the file or know when it is happening. In any event, this is what I tried hoping for a quick one-off. You will need the handle utility from SysInternals.
\path\to\handle.exe | find /i "etl"
Good luck and happy hunting.
answered Feb 19, 2011 at 17:34
songei2fsongei2f
1,9341 gold badge20 silver badges30 bronze badges
2
You must log in to answer this question.
Not the answer you’re looking for? Browse other questions tagged
.
Not the answer you’re looking for? Browse other questions tagged
.
Содержание
- 1 Исправление разрешений для папки RtBackup в Windows 7 и Windows Vista
- 2 Не удается назначить разрешения для папки RtBackup?
Один из наших читателей столкнулся с проблемой, из-за которой не удалось запустить журнал событий Windows, а также несколько других служб. Попытка запустить службу журнала событий Windows вручную через службы MMC привела к ошибке 4201. Полное сообщение об ошибке приводится ниже:
Windows не удалось запустить службу журнала событий Windows на локальном компьютере.
Ошибка 4201: переданное имя экземпляра не было распознано как допустимое поставщиком данных WMI.
И следующие ошибки всплыли при открытии просмотра событий и планировщика задач.
Служба журнала событий недоступна. Убедитесь, что служба работает.
Служба планировщика заданий недоступна. Планировщик заданий попытается подключиться к нему.
После проверки ключа и значений реестра службы журнала событий они были исправны. В конце концов, проблема оказалась в неправильных разрешениях для C:\Windows\System32\LogFiles\WMI\RtBackup каталог. Учетная запись SYSTEM требует полного доступа к каталогу только тогда, когда запустится служба журнала событий Windows. Обратите внимание, что нам не нужно было переименовывать или удалять каталог RtBackup.
Исправление разрешений для папки RtBackup в Windows 7 и Windows Vista
1. Запустите Windows в безопасном режиме
2. Откройте папку «C: \ Windows \ System32 \ LogFiles \ WMI»
3. Щелкните правой кнопкой мыши папку RtBackup и выберите «Свойства».
4. Откройте вкладку «Безопасность» и нажмите кнопку «Изменить».
5. Нажмите Добавить
6. Введите SYSTEM и нажмите клавишу ВВОД.
7. Включите «Полный контроль» Разрешение «Разрешить»
8. Нажмите ОК, а затем нажмите Да, когда вас попросят подтвердить.
9. Перезагрузите Windows (в обычном режиме) и проверьте, запущена ли служба событий Windows.
Не удается назначить разрешения для папки RtBackup?
Если вы не можете назначить разрешения для папки RtBackup, попробуйте вступить во владение этой папкой, а затем повторите шаги 1-9 выше.