C盘每天都被写入将近50GB数据，怎么找出罪魁祸首？

迷路的

2020.10.21更新

昨天没忍住还是把系统重装了，发现Q300PRO一直读不出来的总写入量可以读取了，host总写入量29454GB，差不多29TB，开机13026小时，换算一下每小时2GB写入吧

Q300PRO的TBW是320TB，29TB的话刚刚把零头写完，SSD寿命看来还可以

这几天等更新啥装完了，再看看写入量正常没

========================

用资源查看器是system进程在狂写数据，怎么揪出是哪个系统功能这么疯狂？

win10 2004，其实从最早的win10版本就发现有这个问题了，只是现在越发疯狂了，一天下来能写入将近50GB的内容

http

断网也写入？

查看哪个文件夹

迷路的

http 发表于 2020-10-10 20:23
断网也写入？

查看哪个文件夹

我试试

迷路的

http 发表于 2020-10-10 20:23
断网也写入？

查看哪个文件夹

不行，把网线拔了依然在稳定的吸入数据

你可以试试

试过重装了吗

迷路的

macos 发表于 2020-10-10 20:21
system至少是驱动级，如果很固定，那和一直存在的部分带sys的软件有关

也就是和驱动冲突了？

我的系统确实显示Intel Management Engine Interface设备无法启动，所以我就把它禁用了，不然启动速度超级慢。

迷路的

你可以试试 发表于 2020-10-10 20:30
试过重装了吗

就是不想重装啊，工程量太大了。想能不能排查出究竟是啥原因

nvis

Process Monitor

迷路的

nvis 发表于 2020-10-10 20:58
Process Monitor

具体怎么用

nvis

迷路的 发表于 2020-10-10 21:04
具体怎么用

filter文件io，operation过滤writefile

迷路的

nvis 发表于 2020-10-10 21:08
filter文件io，operation过滤writefile

我现在是知道是system在狂写数据，大概几秒1MB的样子，问题是还是不知道是什么原因让system发疯一样写数据啊

droople

引用第12楼迷路的于2020-10-10 21:26发表的  :
引用:nvis 发表于 2020-10-10 21:08filter文件io，operation过滤......

@迷路的
这是为了让你看写入文件夹而不是看谁在写入

----发送自 Xiaomi POCO F2 Pro,Android 10

KataseMayoi

草，打开资源管理器一看，我的system也在写东西，120~150KB/s 一会排查一下

迷路的

droople 发表于 2020-10-10 21:40
@迷路的
这是为了让你看写入文件夹而不是看谁在写入

那个IO怎么设置呢，我只找到operation  is writefile

能不能把几个过滤条件都说明一下

droople

迷路的 发表于 2020-10-10 22:10
那个IO怎么设置呢，我只找到operation  is writefile

能不能把几个过滤条件都说明一下 ...

会截屏吗？把system那行截出来

dvd6

资源监视器可以看见读写路径的呀

lawsherman

sysmain、快速启动关了没有

迷路的

droople 发表于 2020-10-10 22:26
会截屏吗？把system那行截出来

我是这一步就不会设置了

迷路的

dvd6 发表于 2020-10-10 22:58
资源监视器可以看见读写路径的呀

我在磁盘活动里面按写入排序经常看到很多路径里带font cache，会是这个吗

windaria

我的system非常稳定的0.1mb每秒，不看不知道，一看吓一跳

droople

迷路的 发表于 2020-10-10 23:09
我是这一步就不会设置了

把system改成include

迷路的

droople 发表于 2020-10-10 23:22
把system改成include

这样，然后找出规律性出现的文件路径是吗

droople

迷路的 发表于 2020-10-10 23:32
这样，然后找出规律性出现的文件路径是吗

对

迷路的

droople 发表于 2020-10-10 23:39
对

发现经常大段出现的是
C:\$ConvertToNonresident
C:\$Directory
还有火狐的配置文件夹的cache文件夹
偶尔大段的fontcache

难道是我火狐日常400个tab不关导致的大量cache写入？

droople

迷路的 发表于 2020-10-11 00:02
发现经常大段出现的是
C:\$ConvertToNonresident
C:\$Directory

这个我就不懂了

nvis

迷路的 发表于 2020-10-11 00:02
发现经常大段出现的是
C:\$ConvertToNonresident
C:\$Directory

$开头的是ntfs索引对象，不用管。看你说的应该就是火狐在缓冲了。例如我用360浏览器，开30个以上的标签，就会见到硬盘灯常亮。另外，processmon可以在io记录中右键查看进城属性，看看该sys进程的启动参数和加载的dll，判断是哪个软件借用sys身份在读写。必要时可以配合该系列的另一个工具ProcessExplorer，对可疑sys进程进行起底。

迷路的

nvis 发表于 2020-10-11 01:43
$开头的是ntfs索引对象，不用管。看你说的应该就是火狐在缓冲了。例如我用360浏览器，开30个以上的标签， ...

可能不是火狐，我注意到开机就开始大量写入了，不开火狐观察了一会，写入量继续在疯涨

然后用pm观察，只设置一个operation  is writefile，找到一个在疯写的玩意儿
C:\Windows\tracing\kerberos\TO-PC_kerberos_1_10_0_19041_0_0__100_10_0_19041_507__WinBuild_160101_0800_.etl
Offset: 327,680, Length: 65,536, I/O Flags: Non-cached, Priority: Normal
大概每秒写入2行这玩意儿

这是个啥？

迷路的

lawsherman 发表于 2020-10-10 22:59
sysmain、快速启动关了没有

这个东西也会导致不停读写？

KataseMayoi

迷路的 发表于 2020-10-11 09:01
可能不是火狐，我注意到开机就开始大量写入了，不开火狐观察了一会，写入量继续在疯涨

然后用pm观察， ...

https://docs.microsoft.com/en-us ... beros-event-logging

难道是开了这个？按他这意思你可以在注册表里找到这个删了试试：

1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters
   
2. Registry Value: LogLevel
   
3. Value Type: REG_DWORD
   
4. Value Data: 0x1

复制代码

skaulera

windows不是有event log吗？不写入才怪。不过很少去关心开机一天实际的写入量到底是多少。

linux40

写日志是正常的，但这个也太多了。

cloudian

Bug 10 岂是浪得虚名……

—— 来自 OnePlus GM1910, Android 10上的 S1Next-鹅版 v2.4.3

Jet.Black

讲道理page file也是要写硬盘的

droople

引用第37楼Jet.Black于2020-10-11 12:38发表的  :
讲道理page file也是要写硬盘的

@Jet.Black
每天50g Page file也很多

----发送自 Xiaomi POCO F2 Pro,Android 10