журнал usn что это
Журнал usn что это
Что такое USN журнал WIndows
Всем привет, рад, что вы вновь забрели на мой IT блог Pyatilistnik.org. Продолжаем наше изучение компьютерных технологий, сегодня хочу рассказать о том, что такое USN журнал WIndows. Расскажу, как почистить USN журнал. Уверен, что данная информация, будет полезна для общего развития и даст вам более глубокое понимание работы операционных систем, семейства Windows, от нашего любимого Microsoft.
Журнал USN (сокращение от англ. Update Sequence Number, журнал изменения номеров последовательных обновлений) — это функция записи изменений в файловой системе NTFS.
К моменту выпуска Windows 2000, Microsoft создала NTFS версии 3.0, имеющей некоторые новшества по сравнению с другими файловыми системами. Среди новых возможностей стало возможным под Windows 2000 включить опцию записи перечня всех изменений в файловой системе: когда и какие файлы были изменены. При включении опции все изменения записываются в журнал USN.
Журнал USN имеет довольно простую схему работы. Для каждого NTFS раздела создается отдельный журнал, который начинается с пустого файла. При изменении в разделе в журнале создается новая запись. Каждая запись идентифицируется 64-битным номером последовательного обновления (USN) и содержит имя файла и информацию об изменении.
Журнал USN сохраняет информацию лишь о том, что произошло с файлами, не сохраняя при этом данных. По этой причине с его помощью невозможно отменять действия в файловой системе. Это такой аудит действий, его очень часто используют специалисты по информационной безопасности, при каких, то расследованиях.
Почистить USN журнал можно программой privazer. Вот вкратце что такое USN журнал WIndows.
Как посмотреть USN журнал
Давайте я вам покажу, каким образом можно увидеть данный журнал. Для этого есть несколько вариантов:
fsutil usn
Комментарии
Программы могут обратиться к журналу изменений USN, чтобы определить все изменения, внесенные в набор файлов. Журнал изменений USN гораздо эффективнее, чем проверка меток времени или регистрация для получения уведомлений о файлах. журнал изменений USN включается и используется службой индексирования, службой репликации файлов (FRS), службами удаленной установки (RIS) и удаленными служба хранилища.
Если журнал изменений уже существует на томе, параметр креатежаурнал обновляет параметры MAXSIZE и аллокатионделта журнала изменений. Это позволяет увеличить число записей, поддерживаемых активным журналом, без необходимости его отключения.
Размер журнала изменений может увеличиваться, чем это целевое значение, но журнал изменений усекается на следующей контрольной точке NTFS до меньшего значения. NTFS проверяет журнал изменений и обрезает его, если его размер превышает значение MAXSIZE плюс значение аллокатионделта. В контрольных точках NTFS операционная система записывает записи в файл журнала NTFS, который позволяет системе NTFS определить, какая обработка необходима для восстановления после сбоя.
Журнал изменений может увеличиться до суммы значений MAXSIZE и аллокатионделта перед усечением.
Удаление или отключение активного журнала изменений занимает много времени, поскольку система должна получить доступ ко всем записям в главной таблице файлов (MFT) и установить последний атрибут USN равным 0 (нулю). Этот процесс может занять несколько минут, и он может продолжать работу после перезагрузки системы, если требуется перезагрузка. В ходе этого процесса журнал изменений не считается активным или отключен. При отключении журнала система недоступна, и все операции с журналом возвращают ошибки. При отключении активного журнала следует использовать крайне осторожно, поскольку он неблагоприятно влияет на другие приложения, использующие журнал.
Примеры
Чтобы создать журнал изменений USN на диске C, введите:
Чтобы удалить активный журнал изменений USN на диске C, введите:
Чтобы включить отслеживание диапазона с заданным размером фрагмента и порогом размера файла, введите:
Чтобы перечислить и вывести записи журнала изменений между двумя указанными границами на диске C, введите:
Чтобы запросить данные USN для тома на диске C, введите:
Чтобы прочитать данные USN для файла в папке \Temp на диске C, введите:
Чтобы прочитать журнал USN с указанным начальным USN, введите:
Дополнительные ссылки
область применения: Windows server 2022, Windows server 2019, Windows Server 2016, Windows 10, Windows Server 2012 R2, Windows 8.1, Windows Server 2012 Windows 8
Управляет журналом изменений номеров последовательных обновлений (USN). Журнал изменений USN обеспечивает постоянный журнал всех изменений, внесенных в файлы на томе. По мере добавления, удаления и изменения файлов, каталогов и других объектов NTFS система NTFS вводит записи в журнал изменений USN, по одному для каждого тома на компьютере. В каждой записи указывается тип изменения и измененный объект. Новые записи добавляются в конец потока.
Журналы изменений
Приложение для автоматического резервного копирования — это один из примеров программы, которая должна проверять состояние тома для выполнения задачи. Методом подбора, который проверяет наличие изменений в каталогах или файлах, является сканирование всего тома. Однако это неприемлемый подход, так как это может привести к снижению производительности системы. Другой способ — зарегистрировать уведомление каталога в приложении (путем вызова функций финдфирстчанженотификатион или реаддиректоричанжесв ) для каталогов, для которых создается резервная копия. Это более эффективно, чем первый метод, но требует, чтобы приложение выполнялось в любое время. Кроме того, если необходимо выполнить резервное копирование большого количества каталогов и файлов, то объем обработки и нагрузки на память для такого приложения также может привести к снижению производительности операционной системы.
Чтобы избежать этих недостатков, файловая система NTFS хранит журнал изменений с порядковым номером обновления (USN). При внесении каких-либо изменений в файл или каталог в томе журнал изменений USN для этого тома обновляется с описанием изменения и имени файла или каталога.
Журналы изменений также необходимы для восстановления индексирования файловой системы, например после сбоя компьютера или тома. Возможность восстановления индексирования означает, что файловая система может избежать длительного процесса повторного индексирования всего тома в таких случаях.
В следующих разделах рассматриваются журналы изменений.
Что такое USN-журнал?
Журнал USN представляет собой журнал фиксированного размера, в который записываются все изменения, происходящие в разделах файловой системы NTFS 5.0. Служба NTFRS отслеживает в файле журнала USN файловой системы NTFS закрытие файлов в каталогах, реплицируемых службой FRS, все время пока эта служба работает.
Ошибки переполнения журнала возникают в тех случаях, когда при отключенной службе FRS происходит значительное количество изменений, и последнее изменение USN, записанное службой FRS при завершении работы, не отражается в журнале USN при загрузке. Риск состоит в том, что изменения файлов и папок для реплицированных службой FRS деревьев могли произойти при отключенной службе, а запись об этих изменениях отсутствует в журнале USN. Для предотвращения возникновения несоответствия данных служба FRS объявляет журнал переполненным.
Для обслуживания участников репликации FRS администратор может остановить службу FRS на длительный период времени, не осознавая возможных последствий. Кроме того, возникновение ошибок может привести к завершению работы службы FRS, что, в свою очередь, приводит к ошибке переполнения журнала. В очень больших наборах репликации участники могут столкнуться с ошибкой переполнения журнала (journal_wrap_error) при принудительном восстановлении (BURFLAGS=D4).
Для устранения последствий пораженный участник репликации должен быть заново инициализирован путем непринудительного восстановления (BURFLAGS=D2), которое синхронизирует файлы с существующим входящим партнером. Для больших наборов репликации повторное восстановление требует значительного количества времени.
Fsutil: usn
Обычно используется специалистами по технической поддержке. Управляет журналом изменения номеров последовательных обновлений (USN), в котором сохраняется архив всех изменений файлов в томе. При изменении, добавлении или удалении файлов, каталогов и прочих объектов NTFS в данный журнал вносятся соответствующие записи. Такие журналы создаются для каждого тома. Каждая запись содержит сведения о типе изменения и измененном объекте. Новые записи добавляются к концу существующего журнала.
Программы могут обращаться к журналу изменения номеров последовательных обновлений (USN), чтобы использовать данные о всех изменениях определенного набора файлов. Эффективность такого журнала значительно превышает эффективность таких методов, как проверка штампов времени или регистрация уведомлений об изменении файлов. Журнал изменения номеров последовательных обновлений (USN) используется такими службами, как Indexing Service, File Replication Service (FRS), Remote Installation Service (RIS) и Remote Storage.
Синтаксис
fsutil usn [createjournal] максимальный_размер дельта_выделения буква_тома
fsutil usn [deletejournal] флаги буква_тома
fsutil usn [enumdata] начальный_файл нижняя_граница верхняя_граница путь
fsutil usn [queryjournal] буква_тома
Параметры
Примечания
Если журнал тома уже создан, применение параметра createjournal обновит такие его параметры, как максимальный_размер и дельта_выделения. Это дает возможность увеличить число обновляемых записей, которые поддерживает активный журнал, не отключая его. Указание нулевых значений параметров максимальный_размер и дельта_выделения приводит к выбору значения по умолчанию, зависящего от объма тома.
Размер журнала USN может превышать указанное посредством данного параметра значение. Однако, при этом журнал усекается по достижении ближайшей контрольной точки NTFS, и его размер становится меньше этого значения. Файловая система NTFS проверяет журнал USN и начинает усекать его, когда размер журнала становится больше, чем сумма значений параметров максимальный_размер и дельта_выделения. Контрольные точки указывают на время занесения записей в файл журнала NTFS. В данной файловой системе они используются для определения методов устранения возможных неполадок.
Перед проведением усечения размер журнала USN может превышать сумму значений параметров максимальный_размер и дельта_выделения.
Удаление или отключение активного журнала может занять очень много времени, так как системе необходимо обработать все записи основной таблицы файлов (MFT) и установить значение последнего атрибута USN равным нулю. Этот процесс может занять несколько минут и, возможно, потребовать перезагрузки системы для продолжения данной процедуры. В ходе ее выполнения журнал USN не считается ни активным, ни отключенным. При выполнении отключения журнала, доступ к нему закрыт, а все попытки обращения к нему приводят к выводу сообщений об ошибках. Отключение активного журнала следует производить с крайней осторожностью, поскольку данная операция может неблагоприятно сказаться на использующих журнал программах.
Примеры
Чтобы создать журнал USN на диске С, введите:
fsutil usn createjournal m=1000 a=100 C:
Чтобы удалить активный журнал USN на диске С, введите:
fsutil usn deletejournal /D C:
Чтобы перечислить записи в заданном границами разделе журнала и ознакомиться с их списком, введите:
fsutil usn enumdata 1 0 1 C:
Чтобы запросить журнал о свободном месте на диске С, введите:
fsutil usn queryjournal C:
Чтобы сохранить данные USN в виде файла во временной папке на диске С, введите следующую команду: