ETL représente Journal de suivi des événements. Il s’agit des fichiers journaux créés par le Programme de traçage ou Tracelog.exe. Ces fichiers contiennent des messages de trace générés par le fournisseur de trace au cours d’une session de trace. Le système d’exploitation Windows enregistre les messages de trace dans les fichiers ETL au format binaire afin de réduire la quantité d’espace sur un disque. Windows crée différents fichiers ETL et les stocke à différents emplacements sur le lecteur C. Les fichiers ETL peuvent être utilisés en criminalistique car ils contiennent également des informations de débogage et autres. Le BootCKCL.etl est l’un des fichiers ETL trouvés sur un ordinateur Windows. Dans cet article, nous verrons qu’est-ce qu’un fichier BootCKCL.etl et si vous pouvez le supprimer.
Que sont le fournisseur de trace et la session de trace ?
Un fournisseur de trace est un composant d’un pilote en mode noyau ou d’une application en mode utilisateur qui génère les messages de trace ou les événements de trace à l’aide de la technologie ETW (Event Tracing for Windows). La période pendant laquelle le fournisseur de trace génère des messages de trace est appelée session de trace. Une session de suivi peut inclure un ou plusieurs fournisseurs de suivi.
Pour chaque session de suivi, Windows conserve un ensemble de tampons jusqu’à ce que les messages de suivi soient transmis au journal de suivi. Dans un écosystème Windows, il existe trois types de Sessions Trace, à savoir :
- Sessions de suivi en temps réel
- Sessions de suivi mises en mémoire tampon
- Séances de suivi privées
Emplacement d’un fichier ETL
Les fichiers du journal de suivi des événements ont une extension de fichier .etl. Windows crée ces fichiers et les enregistre à différents emplacements sur votre lecteur C. Les informations contenues dans les fichiers ETL sont écrites dans différents scénarios, comme lorsque le système d’un utilisateur est mis à jour, qu’un deuxième utilisateur se connecte au système Windows, que le système d’un utilisateur est arrêté ou démarré, etc. Certains des emplacements où vous pouvez trouver l’ETL les fichiers sont donnés ci-dessous :
C:\Windows\Panther C:\Windows\Logs
Suivez les étapes ci-dessous pour afficher les fichiers ETL sur votre ordinateur :
- Ouvrez l’explorateur de fichiers.
- Copiez l’un des chemins ci-dessus.
- Cliquez sur la barre d’adresse de l’explorateur de fichiers et collez-y le chemin copié.
- Appuyez sur Entrée.
Lorsque vous ouvrez le dossier Logs situé dans le dossier Windows sur le lecteur C de votre système, vous verrez différents dossiers. Les fichiers ETL se trouvent dans certains de ces dossiers. Pour afficher les fichiers ETL, ouvrez tous les dossiers un par un.
Qu’est-ce que le fichier BootCKCL.etl et puis-je le supprimer ?
Le BootCKCL.etl est l’un des fichiers CKCL. CKCL signifie Circular Kernel Context Logger. Les événements CKCL incluent les événements de processus, les opérations de disque, les événements de thread et d’autres événements de noyau qui indiquent quelle action était effectuée par le système d’exploitation lorsque l’événement a été déclenché.
Le fichier BootCKCL.etl, comme son nom l’indique, est un fichier CKCL qui contient les informations des sessions de trace d’événements créées au moment du démarrage du système. Vous pouvez ou non trouver ce fichier sur votre système, car cela dépend si votre système d’exploitation l’a créé ou non. Si le fichier BootCKCL.etl est créé par votre système d’exploitation, il sera disponible à l’emplacement suivant sur votre lecteur C :
C:\Windows\System32\WDI\LogFiles
Si vous ne trouvez pas le fichier BootCKCL.etl à l’emplacement ci-dessus, vous pouvez le rechercher dans votre lecteur C à l’aide de la fonction de recherche de l’Explorateur de fichiers.
Venons-en maintenant à la question suivante. Pouvez-vous supprimer le fichier BootCKCL.etl de votre système ? La réponse est oui. Étant donné que le fichier BootCKCL.etl ne contient que les informations des sessions de trace capturées au moment du démarrage de votre système, la suppression de ce fichier n’aura aucun impact négatif sur votre système.
Bien que vous puissiez supprimer ce fichier, nous ne vous suggérons pas de le faire. En effet, le fichier BootCKCL.etl contient les informations des sessions de suivi capturées au moment où vous avez démarré votre système. Si un code suspect est exécuté ou si une activité malveillante s’est produite au moment où vous avez démarré votre système, ces informations sont également capturées et écrites dans le fichier BootCKCL.etl. Dans un tel cas, le fichier BootCKCL.etl peut être utilisé pour collecter les données de votre système afin de faire le nécessaire pour protéger votre système.
Lis: Qu’est-ce que le dossier AppData dans Windows ? Comment le trouver ?
Comment lire les fichiers ETL
Les informations écrites dans les fichiers ETL sont au format binaire. Pour cette raison, un utilisateur normal ne peut pas comprendre ces informations. Par conséquent, il est important de décoder les informations écrites dans le fichier BootCKCL.etl du format binaire au format lisible par l’homme. Pour ce faire, vous pouvez utiliser l’outil Observateur d’événements Windows.
Les étapes pour ouvrir les fichiers ETL dans l’Observateur d’événements sont décrites ci-dessous :
- Ouvrez l’Observateur d’événements Windows.
- Aller à « Action > Ouvrir le journal enregistré.”
- Sélectionnez les fichiers ETL que vous souhaitez ouvrir dans l’Observateur d’événements et cliquez sur OK.
Pour vous faciliter la tâche, nous avons expliqué en détail le processus étape par étape.
1]Cliquez sur Windows Search et tapez Observateur d’événements. Sélectionnez Observateur d’événements dans les résultats de la recherche.
2]Lorsque l’Observateur d’événements Windows s’ouvre, assurez-vous que vous avez sélectionné la branche Observateur d’événements (local) sur le côté gauche. Maintenant, allez à « Action > Ouvrir le journal enregistré.” Maintenant, sélectionnez le fichier ETL que vous souhaitez ouvrir, puis cliquez sur OK.
3]Lorsque vous sélectionnez le fichier ETL à ouvrir dans l’Observateur d’événements, il vous montrera un message contextuel vous demandant de créer une nouvelle copie du journal des événements. Cliquez sur Oui.
4]Vous recevrez un autre message contextuel vous indiquant le nom du fichier ETL sélectionné. Vous pouvez créer un nouveau dossier pour ouvrir les journaux enregistrés. Si vous ne créez pas de nouveau dossier, l’observateur d’événements créera un dossier par défaut Journaux enregistrés dossier pour vous. Lorsque vous avez terminé, cliquez sur D’ACCORD.
Après cela, l’Observateur d’événements Windows ouvrira le fichier ETL. Une fois le fichier ETL ouvert dans l’Observateur d’événements, vous pouvez facilement lire les informations enregistrées dans ce fichier.
Lis: Qu’est-ce que le dossier WpSystem ? Est-il sûr de le supprimer ?
A quoi servent les fichiers ETL ?
Les fichiers ETL contiennent les informations des sessions de trace créées par le fournisseur de trace. Le fichier ETL contient les informations au format binaire, qu’un utilisateur normal ne peut pas comprendre. Si vous voulez lire le fichier ETL, vous devez le décoder dans un format lisible par l’homme. Les informations enregistrées dans les fichiers ETL peuvent être utilisées pour corriger les erreurs sur un ordinateur Windows. En dehors de cela, ces fichiers peuvent également être utilisés par des experts légistes pour protéger le système de l’utilisateur au cas où un code malveillant serait exécuté sur son système.
Comment afficher les fichiers ETL ?
Le moyen le plus simple d’afficher ou d’ouvrir un fichier ETL sur un appareil Windows 11/10 consiste à utiliser l’Observateur d’événements. Outre le stockage des informations sur les événements et les erreurs du système, l’Observateur d’événements peut également être utilisé pour ouvrir les journaux enregistrés. ETL signifie journaux de suivi des événements. Par conséquent, ces fichiers sont une sorte de fichiers journaux qui peuvent être ouverts facilement dans l’Observateur d’événements Windows. Pour ce faire, ouvrez l’Observateur d’événements et accédez à « Action > Ouvrir le journal enregistré.” Après cela, sélectionnez le fichier ETL de votre système.
J’espère que cela t’aides.
Lire la suite: Puis-je déplacer le fichier Hibernation vers un autre lecteur ?