Изучал набор программ от Nirsoft и запустил программу FileActivityWatch. Там всё понятно, кроме того что файл EtwRTNT Kernel Logger.etl записал/прочитал 2 523 031 168 байт ровно за 5 минут. Что за зверь такой? Как остановить/отключить? Поиск не дал результатов. Нашёл пару похожих случаев, там предлагали через реестр отключить автозапуск какого-то параметра. У меня он изначально стоит в "0". Ещё советовали переименовать папку в безопасном режиме. Сделал, не помогло. правда там советовали для Вин 8.1. У меня установлена Windows 10 Домашняя для одного языка версия 1809 сборка 17763.316. ОС лицензия.

Исправлено: Вася Куралесов, 01.03.2019 11:44

Вася Куралесов
HOME не управляема пользователем, ставь LTSC.

Вася Куралесов

ETL - это файл журнала трассировки. Его создаёт встроенная система мониторинга производительности. Можете запустить perfmon, найти там журналы счётчиков производительности и отключить их.

Добавление от 26.02.2019 15:51:

https://i.imgur.com/dydkKo5.png

Джамаль
Не помогло. Подскажите как отключить насовсем.
Что сделал:
1. Поиск по реестру по имени файла результатов не дал.
2. В perfmon в свойствах задач "Сеансы отслеживаемых событий" нет ни одной задачи с таким именем файла.
3. Методом последовательной остановки сеансов, выяснилось что при остановки сразу же закрывается файл ему соответствующий. Название сеанса, отвечающий именно за файл EtwRTNT Kernel Logger.etl не нашёл. Часть сеансов нельзя остановить (perfmon запущен под администратором).
4. Этот нехороший файл за полчаса работы прочитал 10ГБ и записал 5ГБ и продолжает дальше.
5. В безопасном режиме у файла прочитано/записано 65 328 байт - проверял 3 раза.
6. В безопасном режиме не даёт присвоить этому файлу атрибут "только для чтения" (была мысля что поможет).
7. В реестре параметр Status=0 в ветках Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\Autologger и Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WMI\GlobalLogger
8. На каком-то польском форуме https://programyzadarmo.net.pl/threads/kernel-logger…80;era-ssd.37474/ аналогичная проблема у пользователя. Через переводчик нифига не понятно кроме того, что над ним прикалываются типа 60ГБ на запись в сутки - это не страшно.

Первый скриншот до начала вмешательства, второй после:

Исправлено: Вася Куралесов, 26.02.2019 19:41

это не дефрагментатор ли?...

Nevermore
Нет. Диск SSD.
Что-то уже даже не смешно становится. За полтора часа наблюдений система записала в этот файл 24ГБ и 45ГБ с него считала. Данные подтверждены мониторингом SMART диска.

Nevermore
это не дефрагментатор ли?...

Неважно. Это хомяковая 10, причём 1809, и что немаловажно - ЛИЦЕНЗИЯ Которая без причёсывания с пристрастием не совсем пригодна к нормальному комфортному использованию. Как верно заметил коллега Prod - хомяку быть хозяином в хомяке - нереально.

mbrz
ЛИЦЕНЗИЯ
что в этом смешного?

хомяку быть хозяином в хомяке
****

Исправлено: moderator-AYM, 27.02.2019 11:37

****

Насчёт твоего хомяка - в домашних редакциях отсутствуют инструменты для гибкой настройки и администрирования ОСи (тот-же gpedit). Вследствие этого ламерам нужно ковырять реестр (который обычно для них тёмный лес). Или радостно доустанавливать типа вроде gpedit, который на хомяке работает никак.

пысы. а с чего всё началось...
Вася Куралесов
Изучал набор программ от Nirsoft и запустил программу FileActivityWatch. Там всё понятно, кроме того что ...

Не надо было тебе ни запускать, ни изучать, ой не надо...

Исправлено: moderator-AYM, 27.02.2019 11:42

[4.3.6.5]

Исправлено: moderator-AYM, 27.02.2019 11:37

Решение:
1. Загружаемся с WinPE (я загружал с 7).
2. На системном диске в папке system32\Logfiles\WMI\RtBackup\ создаём файл EtwRTNT Kernel Logger.etl
3. Устанавливаем ему атрибуты "только чтение" и "скрытый".
4. Перезагружаемся, радуемся.

Каких-либо проблем замечено не было. В Журналах нет каких-либо ошибок, связанных с этим файлом. Система перестаёт гигабайтами постоянно перезаписывать данный файл.

Биомеханик
Я видел это сообщение. Поскольку в реестре нет такого параметра, то создал. Не помогло. И там решение для 8.1.

Вася Куралесов
И там решение для 8.1.

Странно. Вроде бы ссылка на эту тему была упомянута в теме с проблемой в Win 10. С утверждением, что решение помогло.

Биомеханик
Возможно, разные редакции. Проверял этот совет и в обычном и в безопасном режиме. Файл был на месте и также была дикая запись/чтение в него.

Вася Куралесов, ну, решение найдено - и хорошо

В порядке комментария по сходным проблемам (когда нужно как-то насильно запретить Windows создавать какой-то файл) - иногда Windows всё-таки преодолевает наши попытки поставить ReadOnly или даже сменить права доступа/владельца файла и назло нам восстанавливает себе доступ к нежелательному файлу. А вот если загрузившись с какого-нибудь WinPE, совсем удалить файл и создать вместо него папку с таким же именем и расширением (и поставить на ней ReadOnly, скрытый, системный, без прав доступа системе и пр.) и положить в неё какие-то файлы (чтобы папка не была пустой) и этим файлам тоже поставить всякие "запретные" атрибуты, то Windows сдаётся и ничего сделать с этим не может :-)
Может кому-нибудь пригодится.

Вася Куралесов
Решение
Перезагружаемся, радуемся. Каких-либо проблем замечено не было
Гром не грянет - ... © Разве это решение? Искать надо, а не замазывать проблему соплями.

А не было мысли, что трафик как раз происходит именно потому что запущен FileActivityWatch ? запустил у себя эту утилиту на 8.1 - то же поведение, чудовищное количество прочитанных\записанных байт.
Запустил одновременно FileActivityWatch, Procmon и SsdReady.
SsdReady тоже показывает значительную работу с файлом.
В Procmon добавил фильтр, чтобы видеть работу только с C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTNT Kernel Logger.etl
И вижу кучу строк от FileActivityWatch и SsdReady, где Operation = CreateFile, Result = Access Denied.
Остановил и закрыл FileActivityWatch и Procmon - в SsdReady трафик тоже прекратился

laprad
А не было мысли, что трафик как раз происходит именно потому что запущен FileActivityWatch ?
нет. монитор ресурсов показывал похожее при не запущенной утилите.
на 8.1
редакция какая?
SsdReady
эту программу не пробовал, но не думаю, что она покажет другую информацию, чем родной Монитор ресурсов

Вася Куралесов
на 8.1
редакция какая?
Профессиональная

SsdReady
эту программу не пробовал, но не думаю, что она покажет другую информацию, чем родной Монитор ресурсов
Монитор ресурсов при работающем FileActivityWatch да, показал запись, примерно метр в секунду. После того как закрыл FileActivityWatch - скорость ПОСТЕПЕННО опускалась, пока строка с EtwRTNT Kernel Logger.etl не исчезла из таблицы "Работа диска".

laprad
Профессиональная
У меня была 10 Домашняя для одного языка. Кроме FileActivityWatch смотрел ещё программой ProcessExplorer от русиновича. В ней также была сильная запись/чтение в файл при НЕ запущенной FileActivityWatch. Сильно глубже не копал, знаний не хватает.