ETL ย่อมาจาก บันทึกการติดตามเหตุการณ์ นี่คือไฟล์บันทึกที่สร้างโดยโปรแกรม Tracelog หรือ Tracelog.exe ไฟล์เหล่านี้มีข้อความการติดตามที่สร้างโดยผู้ให้บริการการติดตามระหว่างเซสชันการติดตาม ระบบปฏิบัติการ Windows บันทึกข้อความการติดตามในไฟล์ ETL ในรูปแบบไบนารีเพื่อลดจำนวนเนื้อที่บนดิสก์ Windows จะสร้างไฟล์ ETL ที่แตกต่างกันและจัดเก็บไว้ในตำแหน่งต่างๆ บนไดรฟ์ C ไฟล์ ETL สามารถใช้ในนิติเวชได้เนื่องจากมีการดีบักและข้อมูลอื่นๆ BootCKCL.etl เป็นหนึ่งในไฟล์ ETL ที่พบในคอมพิวเตอร์ Windows ในบทความนี้ เราจะมาดูกันว่า ไฟล์ BootCKCL.etl คืออะไร และคุณสามารถลบได้หรือไม่
Trace Provider and Trace Session คืออะไร
ผู้ให้บริการติดตามเป็นส่วนประกอบของโปรแกรมควบคุมโหมดเคอร์เนลหรือแอปพลิเคชันโหมดผู้ใช้ที่สร้างข้อความติดตามหรือติดตามเหตุการณ์โดยใช้เทคโนโลยี ETW (การติดตามเหตุการณ์สำหรับ Windows) ช่วงเวลาที่ Trace Provider สร้างข้อความติดตามเรียกว่า Trace Session Trace Session สามารถรวม Trace Provider ได้ตั้งแต่หนึ่งตัวขึ้นไป
สำหรับ Trace Session ทุกครั้ง Windows จะรักษาชุดของบัฟเฟอร์ไว้จนกว่าข้อความการติดตามจะถูกส่งไปยังบันทึกการติดตาม ในระบบนิเวศของ Windows มี Trace Sessions อยู่สามประเภท ได้แก่:
Real-Time Trace SessionsBuffered Trace SessionsPrivate Trace Sessions
ตำแหน่งของไฟล์ ETL
ไฟล์ Event Trace Log มี.etl นามสกุลไฟล์ Windows จะสร้างไฟล์เหล่านี้และบันทึกไว้ในตำแหน่งต่างๆ บนไดรฟ์ C ของคุณ ข้อมูลในไฟล์ ETL ถูกเขียนขึ้นในสถานการณ์ต่างๆ เช่น เมื่อระบบของผู้ใช้ได้รับการอัปเดต ผู้ใช้คนที่สองลงชื่อเข้าใช้ระบบ Windows ระบบของผู้ใช้ถูกปิดหรือบูต ฯลฯ ตำแหน่งบางแห่งที่คุณอาจพบ ETL ไฟล์มีดังต่อไปนี้:
C:\Windows\Panther C:\Windows\Logs
ทำตามขั้นตอนด้านล่าง เพื่อดูไฟล์ ETL บนคอมพิวเตอร์ของคุณ:
เปิด File Explorer คัดลอกเส้นทางใดเส้นทางหนึ่งด้านบน คลิกแถบที่อยู่ของ File Explorer และวางเส้นทางที่คัดลอกไว้ที่นั่น กด Enter
เมื่อคุณเปิดโฟลเดอร์ Logs ที่อยู่ภายในโฟลเดอร์ Windows บนไดรฟ์ C ของระบบ คุณจะเห็นโฟลเดอร์ต่างๆ ไฟล์ ETL อยู่ในบางโฟลเดอร์เหล่านี้ หากต้องการดูไฟล์ ETL ให้เปิดโฟลเดอร์ทั้งหมดทีละโฟลเดอร์
ไฟล์ BootCKCL.etl คืออะไรและฉันสามารถลบได้หรือไม่
BootCKCL.etl เป็นหนึ่งในไฟล์ CKCL. CKCL ย่อมาจาก Circular Kernel Context Logger เหตุการณ์ CKCL ประกอบด้วยเหตุการณ์ของกระบวนการ การทำงานของดิสก์ เหตุการณ์ของเธรด และเหตุการณ์เคอร์เนลอื่น ๆ ที่บอกว่าระบบปฏิบัติการกำลังทำอะไรอยู่เมื่อมีเหตุการณ์เกิดขึ้น
ไฟล์ BootCKCL.etl เป็น หมายถึงชื่อเป็นไฟล์ CKCL ที่มีข้อมูลของเซสชันการติดตามเหตุการณ์ที่สร้างขึ้นในขณะที่ระบบถูกบูต คุณอาจหรือไม่พบไฟล์นี้ในระบบของคุณ เนื่องจากขึ้นอยู่กับว่าระบบปฏิบัติการของคุณสร้างไฟล์ขึ้นมาหรือไม่ หากระบบปฏิบัติการของคุณสร้างไฟล์ BootCKCL.etl ไฟล์นั้นจะอยู่ที่ตำแหน่งต่อไปนี้ในไดรฟ์ C ของคุณ:
C:\Windows\System32\WDI\LogFiles
หากคุณไม่พบ BootCKCL.etl ที่ตำแหน่งด้านบน คุณสามารถค้นหาในไดรฟ์ C ของคุณโดยใช้คุณลักษณะการค้นหา File Explorer
ตอนนี้ มาที่คำถามถัดไป คุณสามารถลบไฟล์ BootCKCL.etl ออกจากระบบของคุณได้หรือไม่? คำตอบคือใช่ เนื่องจากไฟล์ BootCKCL.etl มีเฉพาะข้อมูลของเซสชันการติดตามที่บันทึกในขณะที่ระบบของคุณถูกบู๊ต การลบไฟล์นี้จะไม่ส่งผลเสียต่อระบบของคุณ
แม้ว่าคุณจะลบไฟล์นี้ได้ เราไม่แนะนำให้คุณทำอย่างนั้น ทั้งนี้เนื่องจากไฟล์ BootCKCL.etl มีข้อมูลของเซสชันการติดตามที่บันทึก ณ เวลาที่คุณบูตระบบ หากมีการเรียกใช้โค้ดที่น่าสงสัยหรือมีกิจกรรมที่เป็นอันตรายเกิดขึ้นในขณะที่คุณบูตระบบ ข้อมูลนั้นจะถูกบันทึกและเขียนลงในไฟล์ BootCKCL.etl ด้วย ในกรณีเช่นนี้ ไฟล์ BootCKCL.etl สามารถใช้รวบรวมข้อมูลจากระบบของคุณเพื่อดำเนินการที่จำเป็นเพื่อปกป้องระบบของคุณ
อ่าน: อะไรคือ โฟลเดอร์ AppData ใน Windows? จะค้นหาได้อย่างไร
วิธีอ่านไฟล์ ETL
ข้อมูลที่เขียนในไฟล์ ETL อยู่ในรูปแบบไบนารี ด้วยเหตุนี้ ผู้ใช้ทั่วไปจึงไม่สามารถเข้าใจข้อมูลนี้ได้ ดังนั้นจึงเป็นสิ่งสำคัญที่จะถอดรหัสข้อมูลที่เขียนในไฟล์ BootCKCL.etl จากรูปแบบไบนารีเป็นรูปแบบที่มนุษย์อ่านได้ ในการดำเนินการดังกล่าว คุณสามารถใช้เครื่องมือ Windows Event Viewer ได้
ขั้นตอนในการเปิดไฟล์ ETL ใน Event Viewer มีการเขียนไว้ด้านล่าง:
เปิด Windows Event Viewer ไปที่ “Action > เปิดบันทึกที่บันทึกไว้” เลือกไฟล์ ETL ที่คุณต้องการเปิดใน Event Viewer แล้วคลิกตกลง
เพื่อให้ง่ายสำหรับคุณ เราได้อธิบายขั้นตอนโดยละเอียดแล้ว
1] คลิกที่ Windows Search และพิมพ์ Event Viewer เลือก Event Viewer จากผลการค้นหา
2] เมื่อ Windows Event Viewer เปิดขึ้น ตรวจสอบให้แน่ใจว่า คุณได้เลือกสาขา Event Viewer (ท้องถิ่น) จากด้านซ้าย ตอนนี้ ไปที่ “การดำเนินการ > เปิดบันทึกที่บันทึกไว้” ตอนนี้ เลือกไฟล์ ETL ที่คุณต้องการเปิด แล้วคลิกตกลง
3] เมื่อคุณเลือก ไฟล์ ETL ที่จะเปิดใน Event Viewer จะแสดงข้อความป๊อปอัปขอให้คุณสร้างสำเนาบันทึกเหตุการณ์ใหม่ คลิกใช่
4] คุณจะได้รับข้อความป๊อปอัปที่แสดงให้คุณเห็น ชื่อของไฟล์ ETL ที่เลือก คุณสามารถสร้างโฟลเดอร์ใหม่เพื่อเปิดบันทึกที่บันทึกไว้ ถ้าคุณไม่สร้างโฟลเดอร์ใหม่ Event Viewer จะสร้างโฟลเดอร์ บันทึกที่บันทึกไว้ เริ่มต้นสำหรับคุณ เมื่อเสร็จแล้ว คลิก ตกลง
หลังจากนั้น Windows Event Viewer จะเปิดไฟล์ ETL หลังจากที่ไฟล์ ETL ถูกเปิดใน Event Viewer คุณสามารถอ่านข้อมูลที่บันทึกไว้ในไฟล์นั้นได้อย่างง่ายดาย
อ่าน: โฟลเดอร์ WpSystem คืออะไร การลบมันปลอดภัยหรือไม่
ไฟล์ ETL ใช้สำหรับอะไร
ไฟล์ ETL มีข้อมูลของเซสชันการติดตามที่สร้างโดยผู้ให้บริการการติดตาม ไฟล์ ETL มีข้อมูลในรูปแบบไบนารีที่ผู้ใช้ปกติไม่เข้าใจ หากคุณต้องการอ่านไฟล์ ETL คุณต้องถอดรหัสไฟล์ในรูปแบบที่มนุษย์อ่านได้ ข้อมูลที่บันทึกไว้ในไฟล์ ETL สามารถใช้แก้ไขข้อผิดพลาดในคอมพิวเตอร์ Windows ได้ นอกจากนั้น ไฟล์เหล่านี้ยังสามารถใช้โดยผู้เชี่ยวชาญด้านนิติเวชเพื่อปกป้องระบบของผู้ใช้ในกรณีที่โค้ดที่เป็นอันตรายถูกรันบนระบบของเขา/เธอ
ฉันจะดูไฟล์ ETL ได้อย่างไร
วิธีที่ง่ายที่สุดในการดูหรือเปิดไฟล์ ETL บนอุปกรณ์ Windows 11/10 คือการใช้ Event Viewer นอกจากการจัดเก็บข้อมูลเหตุการณ์ของระบบและข้อผิดพลาดแล้ว Event Viewer ยังสามารถใช้เพื่อเปิดบันทึกที่บันทึกไว้ได้อีกด้วย ETL ย่อมาจาก Event Trace Logs ดังนั้น ไฟล์เหล่านี้จึงเป็นล็อกไฟล์ชนิดหนึ่งที่สามารถเปิดได้ง่ายใน Windows Event Viewer ในการดำเนินการดังกล่าว ให้เปิด Event Viewer และไปที่ “การดำเนินการ > เปิดบันทึกที่บันทึกไว้” หลังจากนั้น ให้เลือกไฟล์ ETL จากระบบของคุณ
หวังว่าจะช่วยได้
อ่านต่อไป: ฉันสามารถย้ายไฟล์ไฮเบอร์เนตไปยังไดรฟ์อื่นได้หรือไม่
p>