假设启用了NTFS的日记功能,但我不希望将文件的某些更改记录添加到日志中。这可能吗?如果没有,有没有办法,即使将与特定文件相关的更改添加到 USN 日志中,我也可以只删除与该特定文件相关的记录?从我目前所读到的内容来看,您可以使用碎片整理 API 或使用 fsutil 工具一次性删除整个日志,但不能删除单个记录。
任何帮助将不胜感激。
> 这是真的。当日志存在时,您无法隐藏文件更改。并且您无法以常规方式删除单个 USN 记录。正如Xearinox指出的那样,操纵这些数据的唯一方法是通过直接磁盘写入操作。
如果您对此感兴趣,这就是您要阅读的内容:
密切关注您的 NTFS 驱动器:Windows 2000 更改日志解释
密切关注 NTFS 驱动器,第 II 部分:构建更改日志应用程序
简而言之:USN期刊是一系列非碎片化的USN记录。更新序列号实际上只是一个偏移量。[1]所以整个结构非常简单。
更改日志始终将新记录写入文件末尾,因此实现者选择使用记录的文件偏移量作为其 USN
来源:密切关注您的NTFS驱动器:Windows 2000更改日志解释