假设 NTFS 的日志功能已启用,但我不希望将文件的某些更改记录添加到日志中。这可能吗?如果没有,是否有任何方法可以即使将与特定文件相关的更改添加到 USN 日志中,我也只能删除与该特定文件相关的记录?从我目前所读的内容来看,您可以使用碎片整理 API 或使用 fsutil 工具一次性删除整个日志,但不能使用单个记录。
任何帮助,将不胜感激。
问问题
1151 次
1 回答
3
这是真的。当日志存在时,您不能隐藏文件更改。而且您不能以常规方式删除单个 usn 记录。正如 Xearinox 指出的那样,操纵该数据的唯一方法是通过直接磁盘写入操作。
如果您对此感兴趣,这就是您想要阅读的内容:
关注您的 NTFS 驱动器:Windows 2000 变更日志解释
关注您的 NTFS 驱动器,第 II 部分:构建变更日志应用程序
简而言之:USN 期刊是一系列非碎片化的 USN 记录。更新序列号实际上只是一个偏移量。[1] 所以整个结构非常简单。
更改日志总是将新记录写入文件末尾,因此实现者选择使用记录的文件偏移量作为其 USN
来源:密切关注您的 NTFS 驱动器:Windows 2000 更改日志解释
于 2015-01-12T19:57:42.463 回答