Das Stammverzeichnis der meisten Mac-Systeme verfügt über ein verstecktes Verzeichnis mit dem Namen .fseventsd. Dies enthält eine Protokolldatei mit Dateisystemereignissen. Die Protokolldatei wird häufig bei Untersuchungen zur digitalen Forensik verwendet, da sie eine Liste von Dateien enthält, die zu bestimmten Zeiten berührt wurden.
Ich möchte wissen, warum und wie oft der Mac diese Informationen auf die Festplatte schreibt Protokoll wird bereinigt.
- Warum wird dieses Protokoll erstellt?
Wirklich, es macht keinen Sinn. Programme können sich registrieren, um Ereignisse abzurufen mit Änderungen im Dateisystem zu tun haben. Warum sollten sie in ein dauerhaftes Protokoll im Dateisystem geschrieben werden?
- Wie oft wird es bereinigt?
Einer meiner Macs hat läuft seit Dezember 2018. Vor einem Monat gab es Ereignisse, die bis zu dem Tag zurückreichen, an dem ich es gekauft habe. Jetzt gibt es Ereignisse, die bis zum 2. März um 14:47 Uhr zurückreichen (ich schreibe dies am 16. März).
Ich habe online gesucht und kann Informationen zum Dekodieren des Dateiformats finden, aber ich Ich kann wirklich nichts darüber finden, warum es dort ist.
Hintergrundinformationen zu Ereignissen finden Sie unter:
- http://nicoleibrahim.com/apple-fsevents-forensics/ , Artikel und Forschung von Nicole Ibrahim
- https://github.com/dlcowen/FSEventsParser , kostenloser Parser
- https://www.crowdstrike.com/blog/using-os-x-fsevents-discover-deleted-malicious-artifact/ , Crowd Strike, wie es geht Verwenden Sie es in der digitalen Forensik.
Kommentare
- @ user3439894, sicher, ich habe die Frage so aktualisiert, dass sie die Referenzen enthält.