NTFS的忠实秘书—USN日志

　最近，在江湖中出现了一匹黑马，名为Everything，用它搜索东西转瞬即可搞定，甚至你连眼睛还来不及眨一下。它真的有这么神吗？来试一下便知，进入http://www.voidtools.com/下载安装后，如图1所示，在搜索栏输入关键词后，马上就会出现搜索结果。
　　
　　点击“Search”（查找）可以定义查找结果的范围，包括“在结果中查找”、“关键词包含路径”等。
　　
　　Everything为什么能这么快？1分钟可以索引100万个文件？对于几百G的硬盘上的几十万多个文件，建立索引需要的时间也只有几秒。其实Everything并没有全部逐一扫描我们硬盘上的文件，而是通过读取NTFS文件系统中的USN日志来完成的。
　　
　　系统日志：电脑生活好管家
　　
　　USN是系统日志的一部分，我们就先来了解一下什么是日志系统吧。按照系统类型进行区分的话，日志系统可以分为操作系统日志、应用系统日志、安全系统日志等等。在一个完整的信息系统里面，日志系统是一个非常重要的功能组成部分。它是电脑系统的好管家，可以记录下系统所产生的所有行为，并按照某种规范表达出来。我们可以使用日志系统所记录的信息为系统进行排错，优化系统的性能，或者根据这些信息调整系统的行为。
　　在安全领域，日志系统的重要地位尤甚，可以说是安全审计方面最主要的工具之一。简单地说，日志和我们平时所做的日记是差不多，都是把自己一些信息记录下来，方便以后查看。举个例子，有一天，你发现你这个月的存款少了1万块，这时你实在想不起来这钱到底花在哪了，不过还好，你有记录花销的日志系统（就是你以前所有的收入和消费都做了详细的记录），翻开日志，查看一下，就知道这钱到底去哪了。日志系统还有一个好处，那就是在非法重启后，不会像FAT32那样需要整理硬盘，因为之前的操作都已经记录在案了。
　　
　　话历史：NTFS何时招的秘书？
　　
　　USN是Update Service Number Journal or Change Journal的英文缩写，直译为“更新序列号”，是对NTFS卷里所修改过的信息进行相关记录的功能。当年微软发布Windows 2000时，建立NTFS 5.0的同时，加入了一些新功能和改进了旧版本的文件系统，为它请来了一位可靠的秘书，它可以在分区中设置监视更改的文件和目录的数量，记录下监视对象修改时间和修改内容。没错，它就是USN日志。当这个功能启用时，对于每一个NTFS卷，当发生有关添加、删除和修改文件的信息时，NTFS都使用USN日志记录下来。
　　
　　真高效！探访秘书的工作
　　
　　
　　NTFS秘书——USN日志的工作方式，相对来说很简单，所以非常的高效。它开始的时候是一个空文件，包括NTFS每个卷的信息。每当NTFS卷有改变的时候，所改变的信息会马上被添加到这个文件里。这其中，每条修改的记录都使用特定符号来标识为日志形式，也就是USN日志。每条日志，记录了包括文件名、文件信息做出的改变。怎样在系统中让秘书开始干活儿呢？如图2所示，在NTFS分区的图标上右击选择“属性”，勾选圈中部分即可。
　　
　　忠诚的秘书只为NTFS效劳
　　
　　USN秘书不仅工作高效，而且非常的忠诚，虽然这种忠诚看起来有点迫不得已。日志里包括发生了什么变化（添加、删除或其他操作），但并不会记录数据或其他变化的细节，所以它只能工作在NTFS文件系统中。
　　
　　看到上面的描述，你也许还是比较难以理解，那么就举个例子说明一下。USN日志为什么不能在FAT32文件系统下运用呢？就像钢笔不能在宣纸上记录，只能在普通纸上记录一样。USN日志相当于一本书的索引，当然书里面内容发生添加、修改或删除的时候，USN日志会记录下来何时做了修改，并使用特定序列号来标识，但它并不会记录里面具体修改了什么东西，所以索引文件很小。而当你想查找某一篇文章时，你就不用一页一页去翻书，可以直接通过查找USN日志（也就是建立的索引）就知道这篇文章是否存在。