LocalSystemNetworkrestricted 对闲置副盘的持续读写

现场

定位

C:\windows\system32>tasklist /svc /fi "pid eq 10616"

映像名称                       PID 服务
========================= ======== ============================================
svchost.exe                  10616 TrkWks

采取的措施

  • 右键 E: 盘 → 属性 → 常规 → 取消勾选“允许此驱动器上的文件内容被索引以便于快速搜索”:无效
  • 结束TrkWks服务的进程10616:无效

  • 禁用TrkWks服务:有效。
    但只是没有显式的进程对副盘有频繁写入行为,但AIDA64监控副盘写入速度仍是0.0 ~ 0.1 MB/s 波动,问题现象仍在。本次排查放弃,还原

grok分析

从你的命令输出可以看到,PID 为 10616 的 svchost.exe 进程关联的服务是 TrkWks,也就是 Distributed Link Tracking Client 服务。这个服务是 Windows 用来跟踪 NTFS 卷之间文件链接(如快捷方式或 OLE 链接)的服务,通常用于维护文件移动或重命名后的链接完整性。

为什么 TrkWks 会长时间读写 E: 盘?

  1. Distributed Link Tracking Client 的作用
    • TrkWks 负责监控文件系统中的链接(例如快捷方式、文件引用),并记录这些链接的元数据。
    • 这些元数据可能存储在 System Volume Information 文件夹中的 _tracking.log 文件里(正如你在截图中看到的)。
    • 如果 E: 盘上有大量文件或快捷方式,TrkWks 可能会频繁扫描并更新这些跟踪信息,导致持续的读写操作。
  2. 可能的问题
    • 文件或链接过多:如果 E: 盘上有大量快捷方式或跨卷链接,TrkWks 可能在反复扫描和更新日志。
    • 服务卡住或异常:TrkWks 可能因为某些文件或链接的元数据损坏,导致重复尝试读写 _tracking.log。
    • 不必要的操作:如果 E: 盘是闲置的第二块硬盘,且你并不需要跟踪链接(例如没有跨卷快捷方式),这个服务的作用可能对你来说是多余的。

为什么是“垃圾行为”?

  • 资源浪费:TrkWks 的持续读写会占用磁盘 I/O,尤其是对机械硬盘,可能导致性能下降或噪音增加。
  • 不必要性:对于大多数用户(尤其是 E: 盘只是存储盘的情况下),Distributed Link Tracking 的功能用处不大,但它仍然会运行并产生开销。
  • 硬件影响:长时间的读写可能缩短机械硬盘的寿命,特别是对不常使用的盘。

解决方法:

  1. 禁用 Distributed Link Tracking Client 服务
    • 如果你不需要跟踪文件链接(大多数家用场景不需要),可以禁用 TrkWks:
      • 打开 services.msc(Win + R,输入 services.msc)。
      • 找到 Distributed Link Tracking Client
      • 右键 → 属性 → 将“启动类型”设置为 禁用,然后点击“停止”服务。
    • 禁用后,观察是否还有对 E: 盘的读写。
  2. 清理 System Volume Information
    • TrkWks 的日志存储在 System Volume Information\_tracking.log 中。禁用服务后,可以清理这个文件夹:
      • 右键 E: 盘 → 属性 → 安全 → 高级 → 启用对 System Volume Information 的访问权限(需要管理员权限)。
      • 删除 _tracking.log 文件(注意:可能需要先停止 TrkWks 服务)。
    • 或者,直接关闭 E: 盘的系统保护(右键 E: → 属性 → 系统保护 → 配置 → 禁用系统保护),这会清空 System Volume Information。
  3. 检查 E: 盘上的文件
    • 检查 E: 盘上是否有大量快捷方式或跨卷链接(例如指向其他盘的文件引用)。
    • 如果有,可以手动清理不必要的链接,减少 TrkWks 的工作量。
  4. 监控和验证
    • 禁用 TrkWks 后,使用资源监视器确认 E: 盘的读写是否停止。
    • 如果问题解决,可以保持服务禁用状态。

注意事项:

  • 禁用 TrkWks 的影响:禁用此服务对大多数用户没有明显影响,除非你依赖跨卷链接(例如企业环境中共享文件的复杂场景)。如果有特殊需求,可以稍后重新启用。
  • 重启后观察:禁用服务后,建议重启系统,确保设置生效。

总结:

TrkWks(Distributed Link Tracking Client)服务正在对 E: 盘的 _tracking.log 文件进行持续读写,可能是因为它在跟踪文件链接。对于闲置硬盘,这种行为确实显得多余且浪费资源。建议禁用 TrkWks 服务,并清理 System Volume Information 文件夹。如果问题仍未解决,可以提供更多信息,我会继续帮你分析!

是的,你可以选择不对第二块硬盘(例如 E: 盘)进行维护,而无需完全停止 TrkWks(Distributed Link Tracking Client)服务。具体方法是通过调整系统设置,减少或避免对 E: 盘的维护操作。以下是可行的方案:

方法:

  1. 禁用 E: 盘的系统保护
    • 系统保护会生成还原点并更新 System Volume Information 文件夹(包括 _tracking.log),这可能触发 TrkWks 的读写。
    • 操作:
      • 右键 E: 盘 → 属性 → “系统保护”选项卡。
      • 选择 E: 盘,点击“配置”。
      • 选择“禁用系统保护”,然后点击“确定”。
    • 效果:这会停止 E: 盘上的还原点生成和相关日志维护,减少 TrkWks 的活动。
  2. 禁用 E: 盘的文件索引
    • Windows Search 服务可能会与 TrkWks 协作,索引 E: 盘上的文件并更新链接跟踪。
    • 操作:
      • 右键 E: 盘 → 属性 → “常规”选项卡。
      • 取消勾选“允许此驱动器上的文件内容被索引以便于快速搜索”。
      • 点击“确定”(可能需要管理员权限)。
    • 效果:这会阻止搜索索引服务扫描 E: 盘,间接减少 TrkWks 的读写。
  3. 将 E: 盘设置为“脱机”或“只读”模式
    • 如果 E: 盘是长期闲置的存储盘,可以通过手动设置减少系统对其的自动维护。
    • 操作:
      • 打开“磁盘管理”(Win + X → 磁盘管理)。
      • 右键 E: 盘 → 属性 → 策略。
      • 选择“快速删除”策略(适用于移动存储设备),或手动卸载 E: 盘(右键 → 卸载)时不使用。
    • 效果:系统会减少对 E: 盘的后台操作,但需要手动挂载使用。
  4. 限制 TrkWks 对特定卷的访问
    • 虽然无法直接配置 TrkWks 忽略特定盘,但通过调整 NTFS 权限,可以限制其对 System Volume Information 的写入。
    • 操作:
      • 右键 E:\System Volume Information → 属性 → 安全。
      • 编辑权限,移除 SYSTEM 或 TrkWks 关联账户的写权限(需要管理员权限,可能需要先获取所有权)。
    • 效果:这会阻止 TrkWks 更新 E: 盘的跟踪日志,但可能导致链接跟踪功能失效(通常影响不大)。

注意事项:

  • 功能影响:禁用系统保护或索引可能影响 E: 盘的搜索性能或还原能力。如果你需要这些功能,建议保留。
  • 手动管理:设置“脱机”或限制权限后,需手动挂载或调整权限才能访问 E: 盘。
  • 监控效果:调整后,使用资源监视器检查 E: 盘的读写是否减少。

推荐方案:

最简单且影响最小的做法是禁用 E: 盘的系统保护和文件索引(方法 1 和 2)。这可以显著减少维护操作,而无需停止 TrkWks 服务或影响其他盘的功能。如果 E: 盘完全是冷存储,可以考虑卸载它(方法 3)。

调整后观察一段时间,如果仍有问题,可以提供更多细节,我再帮你优化!