ほとんどのMacシステムのルートディレクトリには、.fseventsdという隠しディレクトリがあります。これは、ファイルシステムイベントのログファイルを保持します。ログファイルは、特定の時間内にアクセスされたファイルのリストを保持しているため、デジタルフォレンジックの調査で一般的に使用されます。
Macがこの情報をディスクに書き込んでいる理由と頻度を知りたいです。ログがクリーンアップされます。
- このログが作成されるのはなぜですか?
実際には意味がありません。プログラムが登録してイベントを取得することは可能です。ファイルシステムの変更と関係があります。では、なぜそれらをファイルシステムの永続ログに書き込むのでしょうか?
- どのくらいの頻度でクリーンアップされますか?
私のMacの1つに2018年12月から実行されています。1か月前には、購入した日までさかのぼるイベントがありました。現在、3月2日14:47に戻るイベントがあります(3月16日にこれを入力しています)。
オンラインでファイル形式のデコード方法に関する情報を見つけることができますが、なぜそこにあるのか、本当に何も見つかりません。
fseventsの背景については、以下を参照してください。
- http://nicoleibrahim.com/apple-fsevents-forensics/ 、ニコールイブラヒムによる記事と調査
- https://github.com/dlcowen/FSEventsParser 、無料パーサー
- https://www.crowdstrike.com/blog/using-os-x-fsevents-discover-deleted-malicious-artifact/ 、クラウドストライクの方法デジタルフォレンジックで使用してください。
コメント
- @ user3439894確かに、参照を含めるように質問を更新しました。