O que é BootCKCL.etl? Posso removê-lo?

0
21


ETL representado Registro de acompanhamento de eventos. Estes são os arquivos de log criados pelo programa de monitoramento Onde tracelog.exe. Esses arquivos contêm mensagens de rastreamento geradas pelo provedor de rastreamento durante uma sessão de rastreamento. O sistema operacional Windows salva mensagens de rastreamento em arquivos ETL em formato binário para reduzir a quantidade de espaço em um disco. O Windows cria diferentes arquivos ETL e os armazena em locais diferentes na unidade C. Os arquivos ETL podem ser usados ​​em perícia, pois também contêm informações de depuração e outras. BootCKCL.etl é um dos arquivos ETL encontrados em um computador Windows. Neste artigo veremos O que é um arquivo BootCKCL.etl e você pode excluí-lo?.

O que são Trace Provider e Trace Session?

Um provedor de rastreamento é um componente de um driver de modo kernel ou aplicativo de modo de usuário que gera mensagens de rastreamento ou eventos de rastreamento usando a tecnologia Event Trace for Windows (ETW). O período durante o qual o provedor de rastreamento gera mensagens de rastreamento é chamado de sessão de rastreamento. Uma sessão de rastreamento pode incluir um ou mais provedores de rastreamento.

Para cada sessão de rastreamento, o Windows mantém um conjunto de buffers até que as mensagens de rastreamento sejam enviadas ao log de rastreamento. Em um ecossistema Windows, existem três tipos de sessões de rastreamento, a saber:

  • Sessões de acompanhamento em tempo real
  • Sessões de rastreamento em buffer
  • Sessões particulares de acompanhamento.

Localização de um arquivo ETL

Os arquivos de log de rastreamento de eventos têm uma extensão de arquivo .etl. O Windows cria esses arquivos e os salva em diferentes locais na unidade C. As informações nos arquivos ETL são gravadas em diferentes cenários, como quando o sistema de um usuário é atualizado, um segundo usuário efetua login no sistema Windows, se o sistema de um usuário está desligado ou iniciado, etc. Alguns dos locais onde você pode encontrar os arquivos ETL estão listados abaixo:

Localização dos arquivos ETL no Windows

C:WindowsPanther

C:WindowsLogs

Siga as etapas abaixo para visualizar arquivos ETL em seu computador:

  1. Abra o Explorador de Arquivos.
  2. Copie um dos caminhos acima.
  3. Clique na barra de endereços do Explorador de Arquivos e cole o caminho copiado lá.
  4. Pressione Enter.

Onde estão os arquivos ETL no Windows?

Ao abrir a pasta Logs localizada na pasta Windows na unidade C do seu sistema, você verá pastas diferentes. Os arquivos ETL estão localizados em algumas dessas pastas. Para visualizar arquivos ETL, abra todas as pastas uma a uma.

O que é BootCKCL.etl? Posso removê-lo?

BootCKCL.etl é um dos arquivos CKCL. CKCL significa Circular Kernel Context Registrar. Os eventos CKCL incluem eventos de processo, operações de disco, eventos de thread e outros eventos do kernel que indicam qual ação o sistema operacional estava realizando quando o evento foi acionado.

O arquivo BootCKCL.etl, como o próprio nome sugere, é um arquivo CKCL que contém as informações das sessões de rastreamento de eventos criadas no momento da inicialização do sistema. Você pode ou não encontrar este arquivo em seu sistema, pois depende se o seu sistema operacional o criou ou não. Se o seu sistema operacional criar o arquivo BootCKCL.etl, ele estará disponível no seguinte local em sua unidade C:

C:WindowsSystem32WDILogFiles

Se você não conseguir encontrar o arquivo BootCKCL.etl no local acima, poderá encontrá-lo em sua unidade C usando a função de pesquisa do Explorador de Arquivos.

Agora chegamos à próxima pergunta. Você pode remover o arquivo BootCKCL.etl do seu sistema? A resposta é sim. Como o arquivo BootCKCL.etl contém apenas informações de sessão de rastreamento capturadas no momento da inicialização do sistema, a exclusão desse arquivo não terá um impacto negativo no sistema.

Embora você possa excluir este arquivo, não sugerimos que você o faça. Isso ocorre porque o arquivo BootCKCL.etl contém as informações de rastreamento de sessão capturadas no momento em que você inicializou seu sistema. Se um código suspeito for executado ou uma atividade maliciosa ocorrer na inicialização do sistema, essas informações também serão capturadas e gravadas no arquivo BootCKCL.etl. Nesse caso, o arquivo BootCKCL.etl pode ser usado para coletar dados de seu sistema para fazer o que for necessário para proteger seu sistema.

Lírio: O que é a pasta AppData no Windows? Como encontrá-lo?

Como ler arquivos ETL

As informações gravadas em arquivos ETL estão em formato binário. Por esse motivo, um usuário normal não pode entender essas informações. Portanto, é importante decodificar as informações gravadas no arquivo BootCKCL.etl do formato binário para o formato legível. Para fazer isso, você pode usar a ferramenta Visualizador de Eventos do Windows.

As etapas para abrir arquivos ETL no Visualizador de Eventos estão descritas abaixo:

  1. Abra o Visualizador de Eventos do Windows.
  2. Vai “Ação > Abrir registro salvo.”
  3. Selecione os arquivos ETL que deseja abrir no Visualizador de Eventos e clique em OK.

Para facilitar para você, explicamos detalhadamente o processo passo a passo.

1]Clique em Pesquisa do Windows e digite Visualizador de eventos. Selecione Visualizador de Eventos nos resultados da pesquisa.

Abra o Log Salvo no Visualizador de Eventos

2]Quando o Visualizador de Eventos do Windows for aberto, verifique se você selecionou a ramificação Visualizador de Eventos (Local) no lado esquerdo. Agora vá para “Ação > Abrir registro salvo.” Agora selecione o arquivo ETL que deseja abrir e clique em OK.

Criar uma nova cópia do log de eventos

3]Quando você seleciona o arquivo ETL para abrir no Visualizador de Eventos, ele mostrará um pop-up solicitando que você crie uma nova cópia do log de eventos. Clique em Sim.

Crie uma pasta de registros salvos para abrir registros salvos

4]Você receberá outro pop-up informando o nome do arquivo ETL selecionado. Você pode criar uma nova pasta para abrir os registros salvos. Se você não criar uma nova pasta, o Visualizador de Eventos criará uma pasta padrão registros gravados pasta para você. Quando terminar, clique CERTO.

Depois disso, o Visualizador de Eventos do Windows abrirá o arquivo ETL. Depois que o arquivo ETL for aberto no Visualizador de eventos, você poderá ler facilmente as informações salvas nesse arquivo.

Lírio: Qual é a pasta WpSystem? É seguro excluí-lo?

Para que são usados ​​os arquivos ETL?

Os arquivos ETL contêm informações de sessão de rastreamento criadas pelo provedor de rastreamento. O arquivo ETL contém as informações em formato binário, que um usuário normal não consegue entender. Se você quiser ler o arquivo ETL, precisará decodificá-lo em um formato legível por humanos. As informações salvas em arquivos ETL podem ser usadas para corrigir erros em um computador Windows. Além disso, esses arquivos também podem ser usados ​​por especialistas forenses para proteger o sistema do usuário caso algum código malicioso seja executado em seu sistema.

Como visualizar arquivos ETL?

A maneira mais fácil de exibir ou abrir um arquivo ETL em um dispositivo Windows 11/10 é usar o Visualizador de Eventos. Além de armazenar informações sobre eventos e erros do sistema, o Visualizador de eventos também pode ser usado para abrir logs salvos. ETL significa Registros de Rastreamento de Eventos. Portanto, esses arquivos são um tipo de arquivo de log que pode ser facilmente aberto no Visualizador de Eventos do Windows. Para fazer isso, abra o Visualizador de Eventos e navegue até “Ação > Abrir registro salvo.” Depois disso, selecione o arquivo ETL do seu sistema.

Eu espero que isso ajude.

consulte Mais informação: Posso mover o arquivo de hibernação para outra unidade?

O que é o arquivo BootCKCL.etl?