ETL viết tắt của Event Trace Log. Đây là các tệp nhật ký được tạo bởi Tracelog program hoặc Tracelog.exe. Các tệp này chứa các thông báo theo dõi được tạo bởi nhà cung cấp theo dõi trong một phiên theo dõi. Hệ điều hành Windows lưu các thông báo theo dõi trong tệp ETL ở định dạng nhị phân để giảm dung lượng trên đĩa. Windows tạo các tệp ETL khác nhau và lưu trữ chúng ở các vị trí khác nhau trên ổ C. Các tệp ETL có thể được sử dụng trong pháp y vì chúng cũng chứa gỡ lỗi và thông tin khác. BootCKCL.etl là một trong những tệp ETL được tìm thấy trên máy tính Windows. Trong bài viết này, chúng ta sẽ thấy what a BootCKCL.etl file is and whether you can delete it.

Trace Provider và Trace Session là gì?

Nhà cung cấp dấu vết là một thành phần của Trình điều khiển ở chế độ hạt nhân hoặc ứng dụng ở chế độ Người dùng tạo ra thông báo theo dõi hoặc sự kiện theo dõi bằng cách sử dụng công nghệ ETW (Truy tìm sự kiện dành cho Windows). Khoảng thời gian mà Nhà cung cấp theo dõi tạo ra các thông báo theo dõi được gọi là Phiên theo dõi. Một phiên theo dõi có thể bao gồm một hoặc nhiều hơn một Nhà cung cấp dấu vết.

Đối với mỗi Phiên theo dõi, Windows duy trì một bộ đệm cho đến khi các thông báo theo dõi được gửi đến nhật ký theo dõi. Trong hệ sinh thái Windows, có ba loại Phiên theo dõi, đó là:

  • Phiên theo dõi thời gian thực
  • Phiên theo dõi được đệm
  • Phiên theo dõi riêng tư

Vị trí của tệp ETL

Các tệp Nhật ký theo dõi sự kiện có phần mở rộng là tệp .etl. Windows tạo các tệp này và lưu chúng ở các vị trí khác nhau trên ổ C của bạn. Thông tin trong tệp ETL được viết trong các tình huống khác nhau, chẳng hạn như khi hệ thống của người dùng được cập nhật, người dùng thứ hai đăng nhập vào hệ thống Windows, hệ thống của người dùng bị tắt hoặc khởi động, v.v. Một số vị trí mà bạn có thể tìm thấy ETL các tệp được cung cấp dưới đây:

C:WindowsPanther

C:WindowsLogs

Làm theo các bước bên dưới để xem các tệp ETL trên máy tính của bạn:

  1. Mở File Explorer.
  2. Sao chép bất kỳ một trong các đường dẫn trên.
  3. Nhấp vào thanh địa chỉ của File Explorer và dán đường dẫn đã sao chép vào đó.
  4. Nhấn Enter.

Các tệp ETL nằm ở đâu trong Windows

Khi bạn mở thư mục Nhật ký nằm bên trong thư mục Windows trên ổ C của hệ thống, bạn sẽ thấy các thư mục khác nhau. Các tệp ETL nằm trong một số thư mục này. Để xem các tệp ETL, hãy mở từng thư mục một.

Tệp BootCKCL.etl là gì và tôi có thể xóa nó không?

BootCKCL.etl là một trong những tệp CKCL. CKCL là viết tắt của Round Kernel Context Logger. Các sự kiện CKCL bao gồm các sự kiện quy trình, hoạt động đĩa, sự kiện luồng và các sự kiện hạt nhân khác cho biết hệ điều hành đang thực hiện hành động nào khi sự kiện được đưa ra.

Tệp BootCKCL.etl, như tên của nó, là tệp CKCL chứa thông tin của các phiên theo dõi sự kiện được tạo tại thời điểm hệ thống được khởi động. Bạn có thể tìm thấy hoặc không tìm thấy tệp này trên hệ thống của mình, vì nó phụ thuộc vào việc hệ điều hành của bạn có tạo tệp này hay không. Nếu tệp BootCKCL.etl được tạo bởi hệ điều hành của bạn, nó sẽ có sẵn ở vị trí sau trên ổ C của bạn:

C:WindowsSystem32WDILogFiles

Nếu bạn không tìm thấy tệp BootCKCL.etl ở vị trí trên, bạn có thể tìm kiếm nó trong ổ C của mình bằng cách sử dụng tính năng tìm kiếm File Explorer.

Bây giờ, chúng ta hãy đến với câu hỏi tiếp theo. Bạn có thể xóa tệp BootCKCL.etl khỏi hệ thống của mình không? Câu trả lời là có. Bởi vì tệp BootCKCL.etl chỉ chứa thông tin của các phiên theo dõi được ghi lại tại thời điểm hệ thống của bạn được khởi động, việc xóa tệp này sẽ không mang lại bất kỳ tác động tiêu cực nào đến hệ thống của bạn.

Mặc dù bạn có thể xóa tệp này, nhưng chúng tôi không khuyên bạn làm điều đó. Điều này là do tệp BootCKCL.etl chứa thông tin của các phiên theo dõi được ghi lại tại thời điểm bạn khởi động hệ thống của mình. Nếu bất kỳ mã đáng ngờ nào được thực thi hoặc bất kỳ hoạt động độc hại nào xảy ra tại thời điểm bạn khởi động hệ thống của mình, thông tin đó cũng được ghi lại và ghi vào tệp BootCKCL.etl. Trong trường hợp này, tệp BootCKCL.etl có thể được sử dụng để thu thập dữ liệu từ hệ thống của bạn nhằm thực hiện những việc cần thiết để bảo vệ hệ thống của bạn.

Read: Thư mục AppData trong Windows là gì? Làm thế nào để tìm thấy nó?

Cách đọc tệp ETL

Thông tin được viết trong tệp ETL ở định dạng nhị phân. Bởi vì điều này, một người dùng bình thường không thể hiểu thông tin này. Do đó, điều quan trọng là phải giải mã thông tin được ghi trong tệp BootCKCL.etl từ định dạng nhị phân sang định dạng con người có thể đọc được. Để làm như vậy, bạn có thể sử dụng công cụ Windows Event Viewer.

Các bước để mở tệp ETL trong Trình xem sự kiện được viết dưới đây:

  1. Mở Windows Event Viewer.
  2. Đi đến “Action > Open Saved Log. ”
  3. Chọn tệp ETL mà bạn muốn mở trong Trình xem sự kiện và nhấp vào OK.

Để giúp bạn dễ dàng, chúng tôi đã giải thích chi tiết quy trình từng bước.

1]Nhấp vào Tìm kiếm Windows và nhập Event Viewer. Chọn Trình xem sự kiện từ kết quả tìm kiếm.

Mở nhật ký đã lưu trong Trình xem sự kiện

2]Khi Windows Event Viewer mở ra, hãy đảm bảo rằng bạn đã chọn nhánh Event Viewer (Cục bộ) từ phía bên trái. Bây giờ, hãy chuyển đến “Action > Open Saved Log. ” Bây giờ, chọn tệp ETL mà bạn muốn mở và sau đó nhấp vào OK.

Tạo bản sao nhật ký sự kiện mới

3]Khi bạn chọn tệp ETL để mở trong Trình xem sự kiện, nó sẽ hiển thị cho bạn thông báo bật lên yêu cầu bạn tạo bản sao nhật ký sự kiện mới. Nhấp chuột Yes.

Tạo thư mục nhật ký đã lưu để mở nhật ký đã lưu

4]Bạn sẽ nhận được một thông báo bật lên khác hiển thị tên của tệp ETL đã chọn. Bạn có thể tạo một thư mục mới để mở các bản ghi đã lưu. Nếu bạn không tạo một thư mục mới, Trình xem sự kiện sẽ tạo một thư mục mặc định Saved Logs cho bạn. Khi bạn hoàn thành, hãy nhấp vào OK.

Sau đó, Windows Event Viewer sẽ mở tệp ETL. Sau khi tệp ETL được mở trong Trình xem sự kiện, bạn có thể đọc thông tin được lưu trong tệp đó một cách dễ dàng.

Read: Thư mục WpSystem là gì? Xóa nó có an toàn không?

Tệp ETL được sử dụng để làm gì?

Các tệp ETL chứa thông tin của các phiên theo dõi được tạo bởi nhà cung cấp theo dõi. Tệp ETL chứa thông tin ở định dạng nhị phân mà người dùng bình thường không thể hiểu được. Nếu bạn muốn đọc tệp ETL, bạn phải giải mã nó ở định dạng con người có thể đọc được. Thông tin được lưu trong tệp ETL có thể được sử dụng để sửa lỗi trên máy tính Windows. Ngoài ra, các tệp này cũng có thể được các chuyên gia pháp y sử dụng để bảo vệ hệ thống của người dùng trong trường hợp mã độc được thực thi trên hệ thống của họ.

Làm cách nào để xem các tệp ETL?

Cách dễ nhất để xem hoặc mở tệp ETL trên thiết bị Windows 11/10 là sử dụng Trình xem sự kiện. Ngoài việc lưu trữ thông tin về các sự kiện và lỗi hệ thống, Event Viewer cũng có thể được sử dụng để mở các bản ghi đã lưu. ETL là viết tắt của Event Trace Logs. Do đó, các tệp này là một loại tệp nhật ký có thể được mở dễ dàng trong Windows Event Viewer. Để làm như vậy, hãy mở Trình xem sự kiện và đi tới “Action > Open Saved Log. ” Sau đó, chọn tệp ETL từ hệ thống của bạn.

Hi vọng điêu nay co ich.

Read next: Tôi có thể di chuyển tệp Hibernation sang ổ đĩa khác không?

Tệp BootCKCL.etl là gì