На одном из хостов Windows Server 2019 после анализа свободного места, обнаружили что каталог ETLLogs с нескольким десятками Гб файлов расширением ETL (Event Trace Log).
Что интересно, обнаружить аномально разросшийся каталог ETLLogs с помощью утилит просмотра свободного места (типа WinDirStat или TreeSize) не удавалось, даже когда утилита была запущена с правами администратора. Найти проблемный каталог удалось, запустив утилиту от имени SYSTEM (для запуска программы от имени Local System используется команда:
psexec.exe -i -s WinDirStat.exe
).
Полный путь к папке с ETL логами
C:\ProgramData\Microsoft\Diagnosis\ETLLogs
. На сервере в этом каталоге оказалось несколько сот файлов с именами формата {GUID}_APPRAISER_UTC.etl с размерами около 100 Мб. Судя по датам ETL файлов, они создавались процессом CompatTelRunner.exe каждый день в течении длительного времени, что привело к исчерпанию свободного места на диске.
Данные логи с диагностическим данными создаются службами телеметрии Windows. ETL файлы логов в этом каталоге можно удалить вручную, это безопасно. Также для быстрой очистки собранных диагностических данных, перейдите в раздел Settings -> Privacy -> Diagnostics & feedback -> нажмите кнопку Delete в разделе Delete diagnostic data. Здесь же в параметре Feedback frequency измените значение на Never.
Чтобы предотвратить дальнейший сбор ETL логов, нужно изменить параметры служб телеметрии.
Это позволит уменьшить размер сбора диагностических данных в ETLLogs.
ETL files (Event Trace Log) are logs generated by the operating system Windows that store system and application-specific events. These files are primarily used for diagnostics and system performance analysis. However, their binary nature makes them difficult to access without specialized tools.
In this article, we’ll explain in detail how to open, analyze, and use ETL files in Windows using tools like Windows Performance Analyzer (WPA) and Network Monitor. We’ll also look at alternative ways to convert these files to human-readable formats like TXT or CSV.
What is an ETL file?
An ETL file is an event log file created by the Windows kernel. These files contain information related to system performance, errors, warnings, and events captured at the operating system level. They are widely used for solving problems and monitoring performance. If you want to learn more about troubleshooting, check out our guide on network configuration in Windows.
Its format is binary y compressed, which means they can’t be read directly with tools like Notepad. This requires specialized tools like Windows Performance Analyzer (WPA) or Microsoft Network Monitor.
How to open and analyze an ETL file with Windows Performance Analyzer
Windows Performance Analyzer (WPA) is an advanced tool that allows you to visualize and analyze ETL file data in a graphical and intuitive way. To use it, follow these steps:
Step 1: Open an ETL file
- Open WPA from the Windows start menu.
- On the menu Archive, Select Open.
- Find the ETL file in the folder where it was saved. By default, Windows Performance Recorder (WPR) stores these files in Documents/WPR Files.
- Click on Open to upload the file in WPA.
Step 2: Selecting graphics
Once you open the ETL file, WPA will display several graphs of the logged events. You can:
- Expand and select specific charts by clicking the triangle next to each category.
- Drag charts to the analysis tab to view their enlarged version.
- Switch between data table and chart view to get more information.
Step 3: Select and expand a time interval
- To select a time interval, drag the pointer horizontally across the chart.
- Right click on the selection and press Zoom to selected time range to broaden the view of that period.
- Repeat this process until you get the desired level of detail.
Step 4: Customize the data view
WPA allows you to customize the data table according to your needs:
- Sort columns by clicking on their headers.
- Use the Column Selector to show only the relevant information.
- Filter data by selecting items in the chart legend and applying specific filters.
Related article:
How to Clean Up Files Stored on Telegram – A Step-by-Step Cleaning Guide
Analyzing ETL Files with Microsoft Network Monitor
Microsoft Network Monitor allows you to view ETL files related to network traffic. Its use is especially useful when you want to analyze package events y network errors.
Step 1: Open an ETL file in Network Monitor
- Start Microsoft Network Monitor and select Open Capture File.
- Upload the ETL file you want to analyze.
- The tool will display the organized events in categories, making navigation easier.
Step 2: Apply filters for better viewing
Network Monitor allows you to apply filters to facilitate the reading of the events. Some examples include:
| Filter | Description |
|---|---|
| UTEvent.Header.Descriptor.Level == 2 | Filters only error events. |
| WLAN_MicrosoftWindowsWLANAutoConfig | Filters events related to the WLAN service. |
| UTEvent.Header.Descriptor.Id == 2001 | Displays events with ID 2001. |
Related article:
Fix Wi-Fi Automatically Disconnecting in Windows 11
Alternative tools for viewing ETL files
If WPA or Network Monitor are not viable options, you can use these alternatives:
- Tracerpt: Convert ETL files to TXT or CSV formats for easier reading.
- Event Viewer: It offers a basic but effective way to visualize ETL events within Windows.
ETL files in Windows are a valuable source of information about system performance and events. Although their binary format makes them difficult to read directly, tools such as Windows Performance Analyzer and Network Monitor allow their contents to be efficiently analyzed. With the right knowledge and the use of specific filters, it is possible to extract key data for system optimization and troubleshooting.
Related article:
What is “Android Settings Intelligence”?
Passionate writer about the world of bytes and technology in general. I love sharing my knowledge through writing, and that’s what I’ll do on this blog, show you all the most interesting things about gadgets, software, hardware, tech trends, and more. My goal is to help you navigate the digital world in a simple and entertaining way.
Manage
Learn to apply best practices and optimize your operations.
An interesting post popped up on TenForums this morning. Entitled “SSD is 50% Consumed with ETL files,” it requests help in separating keepers from losers. It also asks for guidance on getting rid of unnecessary ETL files. To begin with, ETL stands for Event Trace Log. It is a binary file format that captures log info from a wide range of built-in Windows tools and diagnostic utilities. Windows 10 usually keeps a lot of them around. Using Voidtools Everything, I found ETL file counts of between 700 and 2,000 on my various Win10 machines. When it comes to examining Windows 10 ETL files — and perhaps even deleting some of them — I offer some tips to ponder. But first, here’s what Everything says about ETL files on my production PC, where it finds just over 800 in residence:
If you rank them by size, you’ll see most ETL files are at or under 2K in size. Deleting big ones gets the best bang for your buck!
[Click image for full-sized view.]
Tips When Examining Windows 10 ETL files
Here’s a short list of rules to live by when deciding the fate of ETL files:
- You don’t have to keep ETL files around. If you have a lot of them, you may have an interesting time figuring out where logging got turned on (and what should be turned off).
- Most ETL files are protected or live in protected directories. Run Explorer (or Everything) as Administrator, and you’ll be able to kill almost all of them. If all else fails, boot to alternate media and kill ’em from the command line there.
- I like to rank ETL files by size. Most are small, a very few can be quite large (I’m showing 2 in my screencap of about 1 GB in size). You get more space back by killing 1 big one than 500 small ones, in my case.
- If any ETL files are older than a week or two, or predate your most recent feature upgrade, you probably won’t get any use out of them anyway. They can go!
- If in doubt (and I’ve never been in a situation where I needed or wanted to recover a deleted ETL file), back them up before you delete them on your Windows drive.
На одном из серверов делали очистку — искали объекты для безопасного удаления, чтобы увеличить свободное место на системном разделе.
Наткнулись на каталог ETLLogs с десятками гигабайт etl-файлов. Оценивая даты изменений, видно, что эти логи создавались системой ежедневно и занимали в среднем по 80 Мб каждый. Так мы «теряем» условно по ~2,4 Гб за месяц. Оно нам надо? Нет, конечно.
Система: Windows Server 2019 Версия 1809 (сборка ОС 17763.2061).
Если растет папка ETLLogs в ProgramData
По существу вопроса
Эта папка заполнена файлами телеметрии совместимости Microsoft (CompatTelRunner.exe), которая запускается запланированной задачей.
Как исправить ситуацию и сократить объем собираемых файлов
�?сследуемая система: Windows Server 2019 Версия 1809 (сборка ОС 17763.2061).
1. Уменьшите уровень логирования собираемых диагностических данных
Параметры — Конфиденциальность — Диагностика и отзывы — Выберите «Основные»
При таком выборе собираются только сведения о вашем устройстве, его настройках, возможностях и исправности.
Выберите объем диагностических данных
2. Удалите диагностические данные
Удалите диагностические данные этого устройства, которые собрала корпорация Microsoft.
Параметры — Конфиденциальность — Диагностика и отзывы — Кнопка «Удалить»
Удаление диагностических данных
Дополнительно отключите запросы на формирование отзывов.
Частота формирования отзывов = Никогда
3. Отключите телеметрию через редактор групповой политики
Конфигурация компьютера — Административные шаблоны — Компоненты Windows — Сборки для сбора данных и предварительные сборки — Разрешить телеметрию = «0 — Безопасность [только для предприятий]»
Настройка телеметрии
�?з описания следует, что при этом значении политика:
- Отправляет в корпорацию Майкрософт только минимальный объем данных, необходимый для защиты Windows.
- Компоненты безопасности Windows, такие как средство удаления вредоносных программ (MSRT) и защитник Windows, могут отправлять данные в корпорацию Майкрософт на этом уровне, если это разрешено.
- Если этот параметр политики отключен или не задан, настройки телеметрии можно задать индивидуально в меню «Параметры».
Запрет телеметрии с помощью системного реестра
Либо запустите командную строку от имени администратора и установите запрет с помощью редактора реестра:
reg add «HKLM\\SOFTWARE\\Policies\\Microsoft\\Windows\\DataCollection» /v AllowTelemetry /t REG_DWORD /d 0 /f
4. Отключите участие в программе улучшения качества ПО Windows
Конфигурация компьютера — Административные шаблоны — Система — Управление связью через �?нтернет — Параметры связи через �?нтернет — Отключить программу по улучшению качества программного обеспечения Windows = «Включено»
Отключение программы по улучшению качества программного обеспечения Windows
5. Отключите служебную задачу Microsoft Compatibility Appraiser в Планировщике
Описание задачи: Сбор телеметрических данных программы при участии в программе улучшения качества ПО. Задача находится по адресу:
Планировщик заданий — Библиотека планировщика заданий — Microsoft — Windows — Application Experience
В нашем случае в папке Application Experience находилось 3 задачи, которые мы отключили: Microsoft Compatibility Appraiser, ProgramDataUpdater, StartupAppTask.
Отключение задачи Microsoft Compatibility Appraiser
6. Остановите работу Службы маршрутизации push-сообщений WAP
Управление компьютером — Службы и приложения — Службы — Служба маршрутизации push-сообщений на основе протокола WAP (Wireless Application Protocol) для управления устройствами — Тип запуска = «Отключена»
Эта служба, как и некоторые другие, имеет отношение к слежке за пользователем (телеметрия).
�?мя службы: dmwappushservice
Описание: Направляет push-сообщения на основе протокола WAP, которые получило устройство, и синхронизирует сеансы управления устройствами
Отключение Службы маршрутизации push-сообщений WAP
Распределенное обучение с TensorFlow и Python
AI_Generated 05.05.2025
В машинном обучении размер имеет значение. С ростом сложности моделей и объема данных одиночный процессор или даже мощная видеокарта уже не справляются с задачей обучения за разумное время. Когда. . .
CRUD API на C# и GraphQL
stackOverflow 05.05.2025
В бэкенд-разработке постоянно возникают новые технологии, призванные решить актуальные проблемы и упростить жизнь программистам. Одной из таких технологий стал GraphQL — язык запросов для API,. . .
Распознавание голоса и речи на C#
UnmanagedCoder 05.05.2025
Интеграция голосового управления в приложения на C# стала намного доступнее благодаря развитию специализированных библиотек и API. При этом многие разработчики до сих пор считают голосовое управление. . .
Реализация своих итераторов в C++
NullReferenced 05.05.2025
Итераторы в C++ — это абстракция, которая связывает весь экосистему Стандартной Библиотеки Шаблонов (STL) в единое целое, позволяя алгоритмам работать с разнородными структурами данных без знания их. . .
Разработка собственного фреймворка для тестирования в C#
UnmanagedCoder 04.05.2025
C# довольно богат готовыми решениями – NUnit, xUnit, MSTest уже давно стали своеобразными динозаврами индустрии. Однако, как и любой динозавр, они не всегда могут протиснуться в узкие коридоры. . .
Распределенная трассировка в Java с помощью OpenTelemetry
Javaican 04.05.2025
Микросервисная архитектура стала краеугольным камнем современной разработки, но вместе с ней пришла и головная боль, знакомая многим — отслеживание прохождения запросов через лабиринт взаимосвязанных. . .
Шаблоны обнаружения сервисов в Kubernetes
Mr. Docker 04.05.2025
Современные Kubernetes-инфраструктуры сталкиваются с серьёзными вызовами. Развертывание в нескольких регионах и облаках одновременно, необходимость обеспечения низкой задержки для глобально. . .
Создаем SPA на C# и Blazor
stackOverflow 04.05.2025
Мир веб-разработки за последние десять лет претерпел коллосальные изменения. Переход от традиционных многостраничных сайтов к одностраничным приложениям (Single Page Applications, SPA) — это. . .
Реализация шаблонов проектирования GoF на C++
NullReferenced 04.05.2025
«Банда четырёх» (Gang of Four или GoF) — Эрих Гамма, Ричард Хелм, Ральф Джонсон и Джон Влиссидес — в 1994 году сформировали канон шаблонов, который выдержал проверку временем. И хотя C++ претерпел. . .
C# и сети: Сокеты, gRPC и SignalR
UnmanagedCoder 04.05.2025
Сетевые технологии не стоят на месте, а вместе с ними эволюционируют и инструменты разработки. В . NET появилось множество решений — от низкоуровневых сокетов, позволяющих управлять каждым байтом. . .