Logfile журнал тома ntfs грузит диск

Первые шестнадцать элементов главной таблицы файлов (MFT — Master File Table) зарезервированы для специальных файлов. В NTFS 3.0 используются только первые двенадцать элементов. Это скрытые файлы, имена которых расположены в корне раздела. Файлов не видно, но, тем не менее, они существуют. Проверить это можно, попытавшись создать файл с одним из зарезервированных имён в корне раздела. На диске с NTFS, например, не получится создать файл C:$Volume.

• $MFT (элемент 0) Главная таблица файлов. Атрибут данных содержит элементы MFT, а также неиспользуемые растровые атрибуты.
• $MFTMirr (элемент 1) Зеркало (резервная копия) первых четырёх элементов MFT.
• $LogFile (элемент 2) Файл журнала тома, в который записываются все изменения структуры тома.
• $Volume (элемент 3) Атрибут данных $Volume представляет весь том. Обращение Win32 по имени «\.C:» откроет файл тома на диске С: (предполагается, что диск С: является томом NTFS), Файл $Volume содержит также имя тома, информацию о томе и атрибуты идентификатора объекта.
• $AttrDef (элемент 4) Атрибут данных $AttrDef содержит массив определений атрибута.
• (элемент 5) Корневой каталог тома.
• $Bitmap (элемент 6) Атрибут данных $Bitmap представляет собой растр кластеров тома.
• $Boot (элемент 7) Первый сектор $Boot является также и первым сектором тома. Поскольку он используется в самом начале процесса загрузки системы (если том является загружаемым), то пространство здесь не нормируется, а хранимые данные не выравниваются по естественным границам. Формат первого сектора можно описать с помощью структуры BOOT_BLOCK.
• $BadClus (элемент 8) В атрибуте данных этого файла содержится информация о сбойных кластерах.
• $Secure (элемент 9) Атрибут данных $Secure содержит совместно используемые идентификаторы доступа. $Secure содержит также два индекса.
• $UpCase (элемент 10) Атрибут данных $Upcase содержит эквивалент верхнего регистра всех 65536 символов Unicode.
• $Extend (элемент 11) $Extend — это каталог, который содержит специальные файлы, используемые некоторыми дополнительными функциями NTFS 3.0. Специальные файлы, хранящиеся в этим каталоге, это: «$ObjId» (поддержка объектных идентификаторов), «$Quota» (поддержка квот), «$Reparse» (данные точек повторной обработки) и «$UsnJrnl» (журнал файловой системы). Начиная с Windows Vista здесь также находится каталог «$RmMetadata» (поддержка транзакций NTFS).

Хоть специальные файлы и являются на самом деле файлами, но открыть их обычным способом (например с помощью функций NtOpenFile или NtCreateFile) нельзя. Даже получив в ACL права администратора (разрешающие чтение специальных файлов), доступ к ним оказывается невозможен, поскольку для них ntfs.sys (драйвер файловой системы NTFS) всегда возвращает статус ошибки STATUS_ACCESS_DENIED. В ntfs.sys существуют две переменные, которые влияют на его поведение: NtfsProtectSystemFiles и NtfsProtectSystemAttributes. По умолчанию, значением обоих этих переменных является TRUE.

Если переменной NtfsProtectSystemAttributes присвоить значение FALSE (например с помощью отладчика), то, используя имена в формате «filename::$STANDARD_INFORMATION», можно получить доступ к атрибутам системы (в частности к стандартным информационным атрибутам). Если присвоить значение FALSE переменной NtfsProtectSystemFiles, то можно будет открыть специальные файлы. Но при попытке сделать это можно столкнуться и с некоторыми трудностями, связанными с тем, что многие из специальных файлов оказываются уже открыты системными средствами при инициализации тома, а кроме того, они не приспособлены для обработки запроса IRP_MJ_READ, возникающего при обращения к функции NtReadFile, и если такой запрос поступит, то система даст сбой. Специальные файлы можно прочесть, сделав с помощью функций NtCreateSection и NtMapViewOfSection их копии и прочитав данные из них.

Следующая проблема заключается в том, что некоторые из специальных файлов неспособны обрабатывать запрос IRP_MJ_CLEANUP, который передается тогда, когда закрывается последний дескриптор объекта файла. Если такой запрос будет получен, то произойдет сбой системы. Таким образом, необходим как минимум один открытый дескриптор специального файла, принадлежащий процессу, который никогда не завершится (например системному процессу).

Диск постоянно работает, судя по непрерывному свечению индикатора на передней панели компьютера, а в диспетчере задач мы наблюдаем, что использование диска составляет 100%. Все программы медленно запускаются и вы не можете определить, что так сильно грузит ваш компьютер.

Чрезмерная загрузка диска очень часто встречается сразу после переустановки системы. Запускаются службы, которые сортируют данные, индексируют их и оптимизируют диск. К сожалению, иногда нагрузка настолько высока, что невозможно пользоваться компьютером. Предлагаем несколько способом справится с этой проблемой.

Выключаем автоматическую дефрагментацию диска

Автоматическая дефрагментация диска запускается в какое-то время и оптимизирует жесткий диск. Этот процесс может существенно замедлить компьютер.

Для отключения автоматической дефрагментации диска перейдите в начальный экран Windows 8 или в меню Пуск в Windows 7 и в строке поиска введите «дефрагментация». В результатах поиска должна появится функция «Дефрагментация и оптимизация ваших дисков».

Кликните на найденную запись. Откроется окно оптимизации диска. Кликните на пункт «Настроить расписание» в Windows 7 или «Изменить параметры» в Windows 8.

В открывшемся окне отключите параметр «Выполнять по расписанию (рекомендуется)». Если вы отключите эту опцию, система не будет выполнять дефрагментацию без нашего ведома и согласия.

Отключаем индексирование файлов

Индексирование файлов это, наверное, самый большой пожиратель производительности диска сразу после переустановки системы. Что такое индексирование? Система сканирует диск, выстраивая и приводя в порядок базу всех файлов, которые находятся в своих разделах. Благодаря этому, последующий поиск файлов с помощью поисковой системы происходит гораздо быстрее.

К сожалению, сам процесс индексации может продолжаться очень долго и при этом тормозить работу компьютера. К счастью, его можно легко отключить. Чтобы это сделать нажмите сочетание клавиш Win + R. Откроется окно «Выполнить» — впишите в нем команду services.msc и подтвердите её выполнение на Enter.

В списке служб с правой стороны нужно найти службу Windows Search. Дважды кликните на ней и в открывшемся окне нажмите на «Остановить». Затем в поле «Тип запуска» устанавливаем «Отключена». Благодаря этому, индексация файлов не будет включаться в автоматическом режиме.

Выключаем предварительную загрузку данных в оперативную память (Prefetcher)

Предварительная загрузка данных в оперативную память – это еще одна системная служба, задача которой ускорить работу операционной системы и сократить время загрузки программ, но во многих случаях работает наоборот.

Чтобы её отключить, нажмите сочетание клавиш Win + R. В открывшемся окне «Выполнить» введите команду regedit для входа в Редактор реестра Windows.

В редакторе переходим к следующему параметру:

«HKEY_LOCAL_MACHINE > System > CurrentControlset > Control > Session Manager > Memory Management > PrefetchParameters».

Кликните на параметр PrefetchParameters, с правой стороны откроются следующие записи:

• EnableSuperfetch;
• EnablePrefetcher;
• EnableBootTrace (может быть только в Windows 7).

Кликните дважды на каждом из перечисленных параметров и смените их значение на 0. После выйдите из Редактора реестра и перезагрузите компьютер.

Выключение данных диагностики и использования (Windows 10)

В Windows 10 имеется встроенная функция сбора и отправки данных диагностики из системы в корпорацию Майкрософт. Это статистические данные относительно использования Windows, которые передаются с целью помочь разработчикам исправить ошибки и повысить качество системы. Многие люди имеют с этой функцией проблемы, утверждая, что она снижает конфиденциальность пользователей. Но, кроме такой проблемы, есть не менее важные технические, а именно… загрузка диска.

После обновления KB3201845 оказывается, что функция диагностики и сбора информации запускает дополнительные службы, связанные с мониторингом производительности Windows. Короче говоря, это обновление приводит к тому, что запускается так называемый сервис Windows Performance Recorder(WPR), который собирает тонны информации о компьютере. Действие этого сервиса приводит к тому, что жесткий диск все время работает, а в Диспетчере задач мы наблюдаем 100% нагрузку диска. Что же с этим делать?

Сначала нужно убедиться, что именно Windows Performance Recorder вызывает чрезмерную нагрузку на диск. Для этого кликните правой кнопкой мыши на Пуск и из выпадающего меню выберите пункт «Командная строка (администратор).

В окне Командной строки введите следующую команду и подтвердите её выполнение нажатием на Enter:

Эта команда способна задержать работу службы WPR (Windows Performance Recorder). Если на экране появится сообщение «There are no trace profiles running», то это значит, что WPR не работал, т. е. не был причиной проблемы и решение следует искать в другом месте.

Тем не менее, если появилось сообщение, подтверждающее задержку этой функции и нагрузка на диск через некоторое время уменьшилась, то это значит, что WPR на самом деле работал в фоновом режиме и запускался каждый раз после перезагрузки системы.

Решением является ограничение сбора данных в Windows 10.

Для этого зайдите через кнопку Пуск в Параметры и выберите раздел «Конфиденциальность».

В боковом меню прокрутите вниз до пункта «Отзывы и диагностика», справа найдите параметр «Данные диагностики и использования». В поле «Отправка данных об устройстве корпорации Майкрософт» установите значение «Базовые сведения».

Теперь эта служба будет автоматически отключена и не будет запускаться вместе с операционной системой. Теперь нагрузка на диск должна уменьшиться до нижнего уровня.

Конфликт программ Skype и Chrome в Windows 10

Следующая причина высокой нагрузки на диск характерна не только для старых компьютеров, но также может возникать на новых ноутбуках с Windows 10. Оказывается, что причиной может быть комбинация установленных программ — Skype и Chrome.

Мы уже рассматривали, как решить проблемы высокой нагрузки на диск путем отключения ненужных служб. Но оказывается, эти решения не всегда помогают, так как проблема может возникнуть через действие определенной совокупности причин.

Оказывается, что с 100% загрузкой диска сталкиваются пользователи, которые приобрели новый ноутбук с Windows 10. Система быстро запускается и работает, но примерно через 5 минут работа компьютера сильно замедляется. Проблема возникает при установке на ноутбуке с Windows 10 двух программ — Chrome и Skype. Эта ситуация описывается на официальном форуме Майкрософта и мы подготовили для вас решение на основе его отчетов.
Эти программы некоторым образом конфликтуют между собой, что и приводит к высокой нагрузке на диск. Чтобы этого избежать, нужно внести изменения в настройки Chrome и Skype.

Chrome

В браузере Chrome нужно перейти в дополнительные настройки. Для этого, в правом верхнем углу окна жмем на кнопку «Настройка и управление» (обозначение три вертикальные точки). Затем в выпадающем меню переходим на пункт «Настройки» и в самом низу находим ссылку «Показать дополнительные настройки…».

В развернутом списке находим раздел «Личные данные». Здесь находим пункт «Использовать подсказки для ускорения загрузки страниц».

Нужно снять галку с этого пункта, так как в некоторых случаях эта опция может вызывать проблемы с загрузкой диска.

Skype

Теперь нужно внести изменения в Skype. Для начала его нужно полостью закрыть, чтобы он не работал даже в фоновом режиме. Закрываем его с помощью иконки в трее или через удаление самого процесса Skype.exe в Диспетчере Задач.

Теперь переходим в саму папку, в которой установлен Skype. Если ничего не меняли, то по умолчанию следующий путь:

C:Program Files (x86)SkypePhone.

Здесь находим файл Skype.exe. Кликните по нему правой кнопкой мыши и выберите «Свойства». Перейдите на вкладку Безопасность и нажмите на кнопку «Изменить».

Отметим, что в открывшемся окне можно редактировать права доступа отдельных групп. Отмечаем в списке группу «Все пакеты приложений». Теперь можно управлять правами доступа к этой группе с помощью нижней позиции.

В столице «Разрешить» отмечаем поле «Запись», чтобы разрешить группе «ВСЕ ПАКЕТЫ ПРИЛОЖЕНИЙ» запись данных. Сохраняем изменения на ОК. Теперь можно снова включить Skype и пользоваться браузером Chrome, загрузка на диск должна значительно снизиться.

Delphi site: daily Delphi-news, documentation, articles, review, interview, computer humor.

Файл $LogFile (запись MFT 2) используется в качестве журнала NTFS. Он обладает стандартными файловыми атрибутами, а данные журнала хранятся в атрибуте $ DATA. К сожалению, подробная информация о структурах данных отсутствует, но мы все же кратко познакомимся с содержимым журнала, чтобы читатель получил примерное представление о хранящихся в нем данных.

Журнал делится на страницы объемом 4096 байт. Первые две страницы предназначены для области рестарта, и в первых четырех байтах каждой страницы хранится сигнатура «RSTR»:

# і cat -f ntfs nt.fsl.dd 2 xxd grep RSTR

0000000: 5253 5452 leOO 0900 0000 0000 0000 0000 RSTR.

0004096: 5253 5452 leOO 0900 0000 0000 0000 0000 RSTR.

Большинство других полей страниц заполнены нулями, а единственная строка «NTFS» хранится в Unicode. После второй структуры данных рестарта со смещением 8192 байта следуют записи, каждая из которых начинается с сигнатуры «RCRD»:

# і cat -f ntfs ntfsl.dd 2 xxd grep RSTR

0008192: 5243 5244 2800 0900 0050 2500 0000 0000 RCRD(. P*.

0012288: 5243 5244 2800 0900 0050 2500 0000 0000 RCRD(. PX.

На первый взгляд смысл данных в записи не очевиден. Чтобы продемонстрировать, что в файле журнала могут находиться резидентные атрибуты данных, я создал файл C:log-test.txt с ASCII-строкой «Му new file, can you see it?». В файле журнала мы видим следующие данные:

2215936: 5243 5244 2800 0900 f93b 9403 0000 0000 RCRD(.

2217312: 3801 1800 0000 0000 ес12 0000 0000 0000 8.

2217328: al4d 0500 0000 0000 4d79 206e 6577 2066 .M. My new f

2217344: 696c 652c 2063 616e 2079 6f75 2073 6565 lie. can you see

2217360: 2069 743f 0000 0000 0000 0000 0000 0000 it.

2217376: 0000 0000 0000 0000 0000 0000 0000 0000 .

2217808: 0003 0000 0094 7c22 5010 0000 004e 5446 . «P. NTF

2217824: 5320 4469 736b 2032 0043 3a5c 6c6f 672d S Disk 2.C:1og-

2217840: 7465 7374 2e74 7874 0000 1500 2e00 2e00 test.txt.

2217856: 5c00 2e00 2e00 5c00 2e00 2e00 5c00 6c00 . . .l.

2217872: 6f00 6700 2d00 7400 6500 7300 7400 2e00 o.g.-.t.e.s.t.

2217888: 7400 7800 7400 0300 4300 3a00 5c00 6000 t.x.t. C.:

Мы видим в записи текст файла. Далее в записи следует имя файла и имя диска «NTFS Disk 2». После сохранения файла я модифицировал строку и добавил в нее текст «This is my update». Эти данные встречаются позднее в файле журнала:

2248704: 5243 5244 2800 0900 f24b 9403 0000 0000 RCRD(. К.

2250800: ес12 0000 0000 0000 al4d 0500 0000 0000 . М.

2250816: 2020 5468 6973 2069 7320 6d79 2075 7064 This is my upd

2250832: 6174 652e 0000 0000 0000 0000 0000 0000 ate.

2250848: 0000 0000 0000 0000 0000 0000 0000 0000 .

Запись содержит только новые данные, а путь обновляемого файла в ней отсутствует. Вероятно, ссылка на нее присутствует в другой записи, содержащей имя файла.