O diretório raiz da maioria dos sistemas Mac possui um diretório oculto chamado .fseventsd. Ele contém um arquivo de log de eventos do sistema de arquivos. O arquivo de log é comumente usado em investigações forenses digitais, porque contém uma lista de arquivos alterados em determinados momentos.
Eu gostaria de saber por que o Mac está gravando essas informações no disco e com que frequência o o log é limpo.
- Por que este log está sendo criado?
Realmente, não faz sentido. É possível que os programas se registrem para obter eventos tendo a ver com mudanças no sistema de arquivos. Então, por que gravá-los em um registro persistente no sistema de arquivos?
- Com que frequência ele é limpo?
Um dos meus Macs tem está em exibição desde dezembro de 2018. Há um mês, havia eventos que remontavam ao dia em que o comprei; agora tem eventos que remontam a 2 de março às 14h47 (estou digitando isso em 16 de março).
Eu olhei online e posso encontrar informações sobre como decodificar o formato do arquivo, mas eu realmente não consigo encontrar nada sobre por que ele está lá.
Para informações sobre fsevents, consulte:
- http://nicoleibrahim.com/apple-fsevents-forensics/ , Artigo e pesquisa de Nicole Ibrahim
- https://github.com/dlcowen/FSEventsParser , analisador gratuito
- https://www.crowdstrike.com/blog/using-os-x-fsevents-discover-deleted-malicious-artifact/ , Crowd Strike sobre como use-o em análise forense digital.
Comentários
- @ user3439894, claro, atualizei a pergunta para incluir as referências.