Question concernant NTFS Modifier Journal USN enregistre

Question

Ce peut-être une question un peu stupide, mais je n'ai pas été en mesure de trouver la réponse partout. Y a-t-il un moyen de savoir quel est le dernier enregistrement dans le journal des modifications?

Lorsque nous courons la requête FSTCL pour la première fois, il prend trop de temps pour énumérer tous les enregistrements. Y a-t-il un moyen facile de le trouver?

Answer 1

FSCTL_QUERY_USN_JOURNAL retourne l'USN qui sera utilisé pour l'enregistrement suivant (NextUsn). Le dernier enregistrement sera normalement NextUsn 1. moins de jouer en toute sécurité, vous pouvez utiliser FSCTL_ENUM_USN_DATA avec filtrage USN pour rechercher NextUsn moins 1, et si elle n'existe pas look pour moins NextUsn 2, puis moins 4, etc.