ETL หมายถึง Event Trace Log. เหล่านี้เป็นไฟล์บันทึกที่สร้างขึ้นโดย Tracelog program หรือ Tracelog.exe. ไฟล์เหล่านี้มีข้อความการติดตามที่สร้างโดยผู้ให้บริการการติดตามระหว่างเซสชันการติดตาม ระบบปฏิบัติการ Windows บันทึกข้อความการติดตามในไฟล์ ETL ในรูปแบบไบนารีเพื่อลดจำนวนเนื้อที่บนดิสก์ Windows จะสร้างไฟล์ ETL ที่แตกต่างกันและจัดเก็บไว้ในตำแหน่งต่างๆ บนไดรฟ์ C ไฟล์ ETL สามารถใช้ในนิติเวชได้เนื่องจากมีการดีบักและข้อมูลอื่นๆ BootCKCL.etl เป็นหนึ่งในไฟล์ ETL ที่พบในคอมพิวเตอร์ Windows ในบทความนี้เราจะเห็น what a BootCKCL.etl file is and whether you can delete it.

Trace Provider และ Trace Session คืออะไร?

ผู้ให้บริการติดตามเป็นส่วนประกอบของโปรแกรมควบคุมโหมดเคอร์เนลหรือแอปพลิเคชันโหมดผู้ใช้ที่สร้างข้อความติดตามหรือติดตามเหตุการณ์โดยใช้เทคโนโลยี ETW (การติดตามเหตุการณ์สำหรับ Windows) ช่วงเวลาที่ Trace Provider สร้างข้อความติดตามเรียกว่า Trace Session Trace Session สามารถรวม Trace Provider ได้ตั้งแต่หนึ่งรายขึ้นไป

สำหรับทุกๆ Trace Session Windows จะรักษาชุดของบัฟเฟอร์ไว้จนกว่าข้อความการติดตามจะถูกส่งไปยังบันทึกการติดตาม ในระบบนิเวศของ Windows มี Trace Sessions สามประเภท ได้แก่:

  • เซสชันการติดตามตามเวลาจริง
  • เซสชันการติดตามบัฟเฟอร์
  • เซสชั่นการติดตามส่วนตัว

ตำแหน่งของไฟล์ ETL

ไฟล์บันทึกการติดตามเหตุการณ์มีนามสกุลไฟล์ .etl Windows จะสร้างไฟล์เหล่านี้และบันทึกไว้ในตำแหน่งต่างๆ บนไดรฟ์ C ของคุณ ข้อมูลในไฟล์ ETL ถูกเขียนขึ้นในสถานการณ์ต่างๆ เช่น เมื่อระบบของผู้ใช้ได้รับการอัปเดต ผู้ใช้คนที่สองลงชื่อเข้าใช้ระบบ Windows ระบบของผู้ใช้ถูกปิดหรือบูต ฯลฯ ตำแหน่งบางแห่งที่คุณอาจพบ ETL ไฟล์ได้รับด้านล่าง:

C:WindowsPanther

C:WindowsLogs

ทำตามขั้นตอนด้านล่างเพื่อดูไฟล์ ETL บนคอมพิวเตอร์ของคุณ:

  1. เปิด File Explorer
  2. คัดลอกเส้นทางใดเส้นทางหนึ่งข้างต้น
  3. คลิกที่แถบที่อยู่ของ File Explorer และวางเส้นทางที่คัดลอกไว้ที่นั่น
  4. กด Enter

ไฟล์ ETL อยู่ที่ไหนใน Windows

เมื่อคุณเปิดโฟลเดอร์ Logs ที่อยู่ภายในโฟลเดอร์ Windows บนไดรฟ์ C ของระบบ คุณจะเห็นโฟลเดอร์ต่างๆ ไฟล์ ETL อยู่ในบางโฟลเดอร์เหล่านี้ หากต้องการดูไฟล์ ETL ให้เปิดโฟลเดอร์ทั้งหมดทีละโฟลเดอร์

ไฟล์ BootCKCL.etl คืออะไรและฉันสามารถลบได้หรือไม่

BootCKCL.etl เป็นหนึ่งในไฟล์ CKCL CKCL ย่อมาจาก Circular Kernel Context Logger เหตุการณ์ CKCL ประกอบด้วยเหตุการณ์ของกระบวนการ การทำงานของดิสก์ เหตุการณ์ของเธรด และเหตุการณ์เคอร์เนลอื่น ๆ ที่บอกว่าระบบปฏิบัติการกำลังทำอะไรอยู่เมื่อมีเหตุการณ์เกิดขึ้น

ไฟล์ BootCKCL.etl ตามชื่อคือไฟล์ CKCL ที่มีข้อมูลของเซสชันการติดตามเหตุการณ์ที่สร้างขึ้นในขณะที่บูตระบบ คุณอาจหรือไม่พบไฟล์นี้ในระบบของคุณ เนื่องจากขึ้นอยู่กับว่าระบบปฏิบัติการของคุณสร้างขึ้นหรือไม่ หากระบบปฏิบัติการของคุณสร้างไฟล์ BootCKCL.etl ไฟล์นั้นจะอยู่ที่ตำแหน่งต่อไปนี้ในไดรฟ์ C ของคุณ:

C:WindowsSystem32WDILogFiles

หากคุณไม่พบไฟล์ BootCKCL.etl ในตำแหน่งด้านบน คุณสามารถค้นหาไฟล์ในไดรฟ์ C ได้โดยใช้คุณลักษณะการค้นหา File Explorer

เอาล่ะ มาถึงคำถามต่อไป คุณสามารถลบไฟล์ BootCKCL.etl ออกจากระบบของคุณได้หรือไม่? คำตอบคือใช่ เนื่องจากไฟล์ BootCKCL.etl มีเฉพาะข้อมูลของเซสชันการติดตามที่บันทึกในขณะที่ระบบของคุณถูกบู๊ต การลบไฟล์นี้จะไม่ส่งผลเสียต่อระบบของคุณ

แม้ว่าคุณจะสามารถลบไฟล์นี้ได้ แต่เราไม่แนะนำให้คุณทำเช่นนั้น ทั้งนี้เนื่องจากไฟล์ BootCKCL.etl มีข้อมูลของเซสชันการติดตามที่บันทึก ณ เวลาที่คุณบูตระบบ หากมีการเรียกใช้โค้ดที่น่าสงสัยหรือมีกิจกรรมที่เป็นอันตรายเกิดขึ้นในขณะที่คุณบูตระบบ ข้อมูลนั้นจะถูกบันทึกและเขียนลงในไฟล์ BootCKCL.etl ด้วย ในกรณีเช่นนี้ ไฟล์ BootCKCL.etl สามารถใช้เพื่อรวบรวมข้อมูลจากระบบของคุณเพื่อดำเนินการตามความจำเป็นเพื่อปกป้องระบบของคุณ

Read: โฟลเดอร์ AppData ใน Windows คืออะไร? จะหาได้อย่างไร?

วิธีอ่านไฟล์ ETL

ข้อมูลที่เขียนในไฟล์ ETL อยู่ในรูปแบบไบนารี ด้วยเหตุนี้ ผู้ใช้ทั่วไปจึงไม่สามารถเข้าใจข้อมูลนี้ได้ ดังนั้นจึงเป็นสิ่งสำคัญที่จะถอดรหัสข้อมูลที่เขียนในไฟล์ BootCKCL.etl จากรูปแบบไบนารีเป็นรูปแบบที่มนุษย์อ่านได้ ในการดำเนินการดังกล่าว คุณสามารถใช้เครื่องมือ Windows Event Viewer

ขั้นตอนในการเปิดไฟล์ ETL ใน Event Viewer เขียนไว้ด้านล่าง:

  1. เปิดตัวแสดงเหตุการณ์ของ Windows
  2. ไปที่ “Action > Open Saved Log
  3. เลือกไฟล์ ETL ที่คุณต้องการเปิดใน Event Viewer แล้วคลิกตกลง

เพื่อให้ง่ายสำหรับคุณ เราได้อธิบายขั้นตอนโดยละเอียด

1]คลิกที่ Windows Search และพิมพ์ Event Viewer. เลือก Event Viewer จากผลการค้นหา

เปิดบันทึกที่บันทึกไว้ใน Event Viewer

2]เมื่อ Windows Event Viewer เปิดขึ้นตรวจสอบให้แน่ใจว่าคุณได้เลือกสาขา Event Viewer (Local) จากด้านซ้าย ตอนนี้ไปที่ “Action > Open Saved Log” ตอนนี้ เลือกไฟล์ ETL ที่คุณต้องการเปิด จากนั้นคลิก ตกลง

สร้างสำเนาบันทึกเหตุการณ์ใหม่

3]เมื่อคุณเลือกไฟล์ ETL ที่จะเปิดใน Event Viewer มันจะแสดงข้อความป๊อปอัปขอให้คุณสร้างสำเนาบันทึกเหตุการณ์ใหม่ คลิก Yes.

สร้างโฟลเดอร์บันทึกที่บันทึกไว้เพื่อเปิดบันทึกที่บันทึกไว้

4]คุณจะได้รับข้อความป๊อปอัปอื่นที่แสดงชื่อไฟล์ ETL ที่เลือก คุณสามารถสร้างโฟลเดอร์ใหม่เพื่อเปิดบันทึกที่บันทึกไว้ หากคุณไม่สร้างโฟลเดอร์ใหม่ Event Viewer จะสร้างค่าเริ่มต้น Saved Logs สำหรับคุณ. เมื่อเสร็จแล้วให้คลิก OK.

หลังจากนั้น Windows Event Viewer จะเปิดไฟล์ ETL หลังจากที่เปิดไฟล์ ETL ใน Event Viewer แล้ว คุณสามารถอ่านข้อมูลที่บันทึกไว้ในไฟล์นั้นได้อย่างง่ายดาย

Read: โฟลเดอร์ WpSystem คืออะไร? การลบมันปลอดภัยหรือไม่?

ไฟล์ ETL ใช้สำหรับอะไร?

ไฟล์ ETL มีข้อมูลของเซสชันการติดตามที่สร้างโดยผู้ให้บริการการติดตาม ไฟล์ ETL มีข้อมูลในรูปแบบไบนารีที่ผู้ใช้ปกติไม่เข้าใจ หากคุณต้องการอ่านไฟล์ ETL คุณต้องถอดรหัสไฟล์ในรูปแบบที่มนุษย์อ่านได้ ข้อมูลที่บันทึกไว้ในไฟล์ ETL สามารถใช้แก้ไขข้อผิดพลาดในคอมพิวเตอร์ Windows ได้ นอกจากนั้น ไฟล์เหล่านี้ยังสามารถถูกใช้โดยผู้เชี่ยวชาญด้านนิติเวชเพื่อปกป้องระบบของผู้ใช้ในกรณีที่โค้ดที่เป็นอันตรายถูกรันบนระบบของเขา/เธอ

ฉันจะดูไฟล์ ETL ได้อย่างไร

วิธีที่ง่ายที่สุดในการดูหรือเปิดไฟล์ ETL บนอุปกรณ์ Windows 11/10 คือการใช้ Event Viewer นอกจากการจัดเก็บข้อมูลเหตุการณ์ของระบบและข้อผิดพลาดแล้ว Event Viewer ยังสามารถใช้เพื่อเปิดบันทึกที่บันทึกไว้ได้อีกด้วย ETL ย่อมาจาก Event Trace Logs ดังนั้น ไฟล์เหล่านี้จึงเป็นล็อกไฟล์ชนิดหนึ่งที่สามารถเปิดได้ง่ายใน Windows Event Viewer โดยเปิด Event Viewer และไปที่ “Action > Open Saved Log” หลังจากนั้น เลือกไฟล์ ETL จากระบบของคุณ

หวังว่านี่จะช่วยได้

Read next: ฉันสามารถย้ายไฟล์ไฮเบอร์เนตไปยังไดรฟ์อื่นได้หรือไม่?

ไฟล์ BootCKCL.etl คืออะไร