El directorio root de la mayoría de los sistemas Mac tiene un directorio oculto llamado .fseventsd. Esto contiene un archivo de registro de eventos del sistema de archivos. El archivo de registro se utiliza comúnmente en investigaciones de informática forense, ya que contiene una lista de archivos modificados en momentos específicos.
Me gustaría saber por qué la Mac está escribiendo esta información en el disco y con qué frecuencia se limpia el registro.
- ¿Por qué se crea este registro?
Realmente, no tiene sentido. Es posible que los programas se registren para recibir eventos relacionados con los cambios en el sistema de archivos. Entonces, ¿por qué escribirlos en un registro persistente en el sistema de archivos?
- ¿Con qué frecuencia se limpia?
Una de mis Macs ha estado funcionando desde diciembre de 2018. Hace un mes tenía eventos que se remontaban al día en que la compré; ahora tiene eventos que se remontan al 2 de marzo a las 14:47 (estoy escribiendo esto el 16 de marzo).
He buscado en línea y puedo encontrar información sobre cómo decodificar el formato del archivo, pero realmente no puedo encontrar nada sobre por qué está ahí.
Para obtener más información sobre fsevents, ver:
- http://nicoleibrahim.com/apple-fsevents-forensics/, Artículo e investigación de Nicole Ibrahim
- https://github.com/dlcowen/FSEventsParser, Analizador gratuito
- https://www.crowdstrike.com/blog/using-os-x-fsevents-discover-deleted-malicious-artifact/, Crowd Strike sobre cómo usarlo en informática forense.
2 votos
@user3439894, seguro, actualicé la pregunta para incluir las referencias.