Un registro delle modifiche ai file è un file fisico su un dispositivo di archiviazione del computer che mantiene un elenco delle diverse modifiche apportate ai file e alle directory all’interno di un file system. Il registro delle modifiche ai file non tiene necessariamente traccia delle modifiche specifiche apportate ai dati contenuti in un file; tiene invece traccia delle informazioni più generalizzate sul file contenute nello spazio dei nomi del file system. Nella maggior parte delle implementazioni, è possibile accedere a un registro delle modifiche ai file come file di sola lettura da un’applicazione in modo che le informazioni in esso contenute siano disponibili, ma solo funzioni di sistema speciali all’interno del sistema operativo possono apportare modifiche al registro; ciò preserva la sua integrità e previene modifiche dannose. Diversi programmi sono in grado di utilizzare il registro delle modifiche ai file per evitare di dover scansionare ogni file all’interno di un file system per determinare se sono state apportate modifiche. Software di archiviazione, scanner antivirus, programmi di indicizzazione per motori di ricerca Internet e suite di amministrazione di rete possono tutti utilizzare un registro delle modifiche ai file per verificare rapidamente eventuali modifiche apportate al sistema dall’ultima volta che è stato eseguito un programma.
All’interno di un file system, un registro delle modifiche ai file è progettato per tenere traccia delle modifiche di alto livello ai file anziché delle modifiche atomiche ai dati archiviati all’interno del file. Ciò significa che il registro può registrare le modifiche al nome del file, la data dell’ultima modifica del file o le modifiche alle autorizzazioni di accesso di un file. Ciò che non tiene traccia sono modifiche più specifiche, come esattamente quale programma ha avuto accesso al file, la posizione dei dati che sono stati modificati o quali funzioni di sistema sono state utilizzate per apportare le modifiche.
Un vero e proprio registro delle modifiche ai file è un file all’interno del file system che sta monitorando. Il file può essere disponibile come qualsiasi altro file, consentendo a qualsiasi programma di aprire e visualizzare le informazioni, oppure può essere un file di sistema nascosto e destinato a essere visualizzato solo tramite l’uso di chiamate al sistema operativo, un metodo che funge da gateway nella protezione del registro. In entrambe le situazioni, il file è di sola lettura per tutti i programmi eccetto il sistema operativo principale per mantenere il file ordinato e per impedire la manomissione. La scrittura delle modifiche al file di registro viene eseguita solo dal sistema operativo, a volte dopo che è stata apportata una modifica o altre volte come parte di un processo di aggiornamento automatico.
I programmi esterni che utilizzano il registro delle modifiche ai file di solito lo fanno per evitare di dover utilizzare procedure che richiedono molto tempo che passano manualmente attraverso ogni file e directory all’interno di un file system per cercare le modifiche. Può anche essere utilizzato archiviando programmi o web crawler per evitare che i programmi debbano elaborare informazioni precedentemente elaborate, concentrandosi invece solo sui file che sono stati modificati dall’ultima scansione. Gli amministratori di rete possono utilizzare il registro per tenere traccia di qualsiasi attività sospetta, come le modifiche ai permessi dei file, che altrimenti sarebbe molto più difficile tenere traccia.