Что такое USN журнал WIndows

Что такое USN журнал WIndows

Всем привет, рад, что вы вновь забрели на мой IT блог Pyatilistnik.org. Продолжаем наше изучение компьютерных технологий,  сегодня хочу рассказать о том, что такое USN журнал WIndows. Расскажу, как почистить USN журнал. Уверен, что данная информация, будет полезна для общего развития и даст вам более глубокое понимание работы операционных систем, семейства Windows, от нашего любимого Microsoft.

Журнал USN (сокращение от англ. Update Sequence Number, журнал изменения номеров последовательных обновлений) — это функция записи изменений в файловой системе NTFS.

К моменту выпуска Windows 2000, Microsoft создала NTFS версии 3.0, имеющей некоторые новшества по сравнению с другими файловыми системами. Среди новых возможностей стало возможным под Windows 2000 включить опцию записи перечня всех изменений в файловой системе: когда и какие файлы были изменены. При включении опции все изменения записываются в журнал USN.

Журнал USN имеет довольно простую схему работы. Для каждого NTFS раздела создается отдельный журнал, который начинается с пустого файла. При изменении в разделе в журнале создается новая запись. Каждая запись идентифицируется 64-битным номером последовательного обновления (USN) и содержит имя файла и информацию об изменении.

Журнал USN сохраняет информацию лишь о том, что произошло с файлами, не сохраняя при этом данных. По этой причине с его помощью невозможно отменять действия в файловой системе. Это такой аудит действий, его очень часто используют специалисты по информационной безопасности, при каких, то расследованиях.

Почистить USN журнал можно программой privazer. Вот вкратце что такое USN журнал WIndows.

Как посмотреть USN журнал

Давайте я вам покажу, каким образом можно увидеть данный журнал. Для этого есть несколько вариантов:

  • Первое, это утилита Fsutil. там есть ключ Fsutil usn (https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc788042(v=ws.11))

Пример построения команды

fsutil usn "Нужный параметр"

Примеры параметров:

  1. createjournal - Создает журнал изменений USN.
  2. m=<MaxSize> - Задает максимальный размер в байтах, который NTFS выделяет для журнала изменений.
  3. a=<AllocationDelta> - Задает размер в байтах распределения памяти, который добавляется в конец и удаляется с начала журнала изменений.
  4. <VolumePath> - Указывает букву диска (за которым следует двоеточие).
  5. deletejournal - Удаляет или отключает активный журнал изменений USN.
  6. /d - Отключает активный журнал изменений USN и возвращает управление вводом / выводом (I/O), когда журнал изменений отключен.
  7. /n - Отключает активный журнал изменений USN и возвращает управление вводом-выводом только после того, как журнал изменений отключен
  • Вторая утилита NTFS Stream Explorer. Скачать NTFS Stream Explorer 2.2.0, можно по ссылке. Запускаете утилиту и выбираете нужный вам файл. У вас появится подробная его информация. Среди нее будет вкладка "USN". Так же вы тут увидите:
  1. Имя файла - Какое было имя файла в момент создания записи в журнал USN.
  2. ID файла - В версии 3.0 128-битный идентификатор, в версии 2.0 64-битный.
  3. ID родительского файла - Это идентификатор каталога, в котором находится файл. В версии 3.0 128-битный идентификатор, в версии 2.0 64-битный.
  4. USN - Номер записи USN.
  5. ID безопасности - ID безопасности, который был у файла в момент создания записи в журнал USN.
  6. Атрибуты файла - Набор атрибутов файла, которые были у файла в момент создания записи в журнал USN.
  7. Время - Метка времени, когда была создана запись в журнале изменений USN.
  8. Флаги причины - Флаги причины создания записи в журнале USN, в цифровом виде. Ниже есть поле «Причина», где эти флаги представлены в текстовом виде.
  • USN_REASON_DATA_OVERWRITE
  • USN_REASON_DATA_EXTEND
  • USN_REASON_DATA_TRUNCATION
  • USN_REASON_NAMED_DATA_OVERWRITE
  • USN_REASON_NAMED_DATA_EXTEND
  • USN_REASON_NAMED_DATA_TRUNCATION
  • USN_REASON_FILE_CREATE
  • USN_REASON_FILE_DELETE
  • USN_REASON_EA_CHANGE
  • USN_REASON_SECURITY_CHANGE
  • USN_REASON_RENAME_OLD_NAME
  • USN_REASON_RENAME_NEW_NAME
  • USN_REASON_INDEXABLE_CHANGE
  • USN_REASON_BASIC_INFO_CHANGE
  • USN_REASON_HARD_LINK_CHANGE
  • USN_REASON_COMPRESSION_CHANGE
  • USN_REASON_ENCRYPTION_CHANGE
  • USN_REASON_OBJECT_ID_CHANGE
  • USN_REASON_REPARSE_POINT_CHANGE
  • USN_REASON_STREAM_CHANGE
  • USN_REASON_TRANSACTED_CHANGE
  • USN_REASON_CLOSE

Просмотр USN

Материал сайта pyatilistnik.org

Оцените статью
Настройка серверов windows и linux
Добавить комментарий