Un registro de cambios de archivos es un archivo físico en un dispositivo de almacenamiento de computadora que mantiene una lista de las diferentes modificaciones realizadas a los archivos y directorios dentro de un sistema de archivos. El registro de cambios de archivo no necesariamente rastrea los cambios específicos realizados en los datos almacenados dentro de un archivo; en su lugar, rastrea la información más generalizada sobre el archivo que se encuentra en el espacio de nombres del sistema de archivos. En la mayoría de las implementaciones, una aplicación puede acceder a un registro de cambios de archivo como un archivo de solo lectura para que la información que contiene esté disponible, pero solo las funciones especiales del sistema dentro del sistema operativo pueden realizar modificaciones en el registro; esto preserva su integridad y evita modificaciones maliciosas. Varios programas pueden hacer uso del registro de cambios de archivos para evitar tener que escanear todos los archivos dentro de un sistema de archivos para determinar si se han realizado cambios. El software de archivo, los escáneres de virus, los programas de indexación para motores de búsqueda de Internet y las suites de administración de red pueden emplear un registro de cambios de archivos para verificar rápidamente cualquier cambio realizado en el sistema desde la última vez que se ejecutó un programa.
Dentro de un sistema de archivos, un registro de cambios de archivos está diseñado para realizar un seguimiento de los cambios de alto nivel en los archivos en lugar de los cambios atómicos en los datos almacenados dentro del archivo. Esto significa que el registro puede registrar cambios en el nombre del archivo, la última fecha en que se modificó el archivo o cambios en los permisos de acceso de un archivo. Lo que no rastrea son cambios más específicos, como exactamente qué programa accedió al archivo, la ubicación de los datos que se cambiaron o qué funciones del sistema se usaron para realizar los cambios.
Un registro de cambio de archivo real es un archivo dentro del sistema de archivos que está rastreando. El archivo puede estar disponible como cualquier otro archivo, lo que permite que cualquier programa abra y vea la información, o puede ser un archivo de sistema que está oculto y destinado a ser visto solo mediante el uso de llamadas al sistema operativo, un método que actúa como puerta de enlace para proteger el registro. En ambas situaciones, el archivo es de solo lectura para todos los programas excepto el sistema operativo central para mantener el archivo ordenado y evitar alteraciones. La escritura de cambios en el archivo de registro la realiza solo el sistema operativo, a veces después de que se ha realizado un cambio u otras veces como parte de un proceso de actualización automatizado.
Los programas externos que usan el registro de cambios de archivos generalmente lo hacen para evitar tener que usar procedimientos que consumen mucho tiempo y que recorren manualmente cada archivo y directorio dentro de un sistema de archivos para buscar cambios. También puede ser utilizado por programas de archivo o rastreadores web para evitar que los programas tengan que procesar información que se procesó anteriormente, en lugar de centrarse solo en los archivos que se han modificado desde el último análisis. Los administradores de red pueden usar el registro para realizar un seguimiento de cualquier actividad sospechosa, como cambios en los permisos de archivos, que de otra manera serían mucho más difíciles de rastrear.