Rotkatalogen för de flesta Mac-system har en dold katalog som heter .fseventsd. Detta innehåller en loggfil med filsystemhändelser. Loggfilen används ofta i digitala kriminaltekniska undersökningar, eftersom den innehåller en lista över filer som berörts inom vissa tider.
Jag skulle vilja veta varför Mac: n skriver denna information till disken och hur ofta loggen rensas.
- Varför skapas den här loggen?
Det är verkligen ingen mening. Det är möjligt för program att registrera sig för att få händelser har att göra med förändringar i filsystemet. Så varför skriva dem till en ihållande logg i filsystemet?
- Hur ofta rengörs det?
En av mina Mac-datorer har har körts sedan dec 2018. För en månad sedan hade det evenemang som går ända tillbaka till den dag jag köpte det; nu har det händelser som går tillbaka till 2 mars kl 14:47 (jag skriver det här den 16 mars.)
Jag har tittat online och kan hitta information om hur man avkodar filformatet, men jag kan verkligen inte hitta något om varför det finns.
För bakgrund om fsevents, se:
- http://nicoleibrahim.com/apple-fsevents-forensics/ , artikel och forskning av Nicole Ibrahim
- https://github.com/dlcowen/FSEventsParser , gratis parser
- https://www.crowdstrike.com/blog/using-os-x-fsevents-discover-deleted-malicious-artifact/ , Crowd Strike om hur använd den i digital kriminalteknik.
Kommentarer
- @ user3439894, visst, jag uppdaterade frågan för att inkludera referenserna.