¿Qué es el fichero $LogFile?

| Última modificación: 19 de abril de 2024 | Tiempo de Lectura: 3 minutos

Algunos de nuestros reconocimientos:

Premios KeepCoding

El fichero $LogFile es un tipo de fichero que contiene información usada por NTFS para recuperarse de manera rápida y volver al estado anterior. Es decir, todas las transacciones que se realicen sobre el fichero $LogFile son aquellas que realiza el sistema de archivos sobre los ficheros.

¿Qué es el fichero $LogFile?

El fichero $LogFile o archivo $LogFile es un archivo del sistema de archivos NTFS utilizado por el sistema operativo Windows para registrar cambios en el sistema de archivos y mantener la integridad del sistema.

El fichero $LogFile contiene información sobre transacciones ejecutadas en el sistema de archivos, incluyendo operaciones de creación, modificación y eliminación de archivos y directorios. También registra información sobre el estado de los clústeres del disco y los cambios en la asignación de espacio en disco.

Este se almacena en el directorio raíz de la unidad NTFS y es invisible para el usuario promedio. Solo el sistema operativo y las aplicaciones que tienen privilegios de sistema pueden acceder a este archivo.

Generalidades del fichero $LogFile

El fichero $LogFile está localizado en el registro segundo de la MFT,. Esto significa que es como una copia o hermano pequeño de la MFT. No guarda tanta información como la MFT, pero sí guarda información sobre diversas transacciones, entre ellas:

  • Creación de ficheros.
  • Borrado de ficheros.
  • Renombrar el fichero.
  • Copia de ficheros.

Herramienta para analizar el fichero $LogFile

La herramienta que utilizaremos para analizar el fichero $LogFile se llama LogFileParser.

Fichero $LogFile

LogFileParser

🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴

Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada

👉 Prueba gratis el Bootcamp en Ciberseguridad por una semana

LogFileParser es una herramienta de software que se utiliza para analizar y procesar archivos de registro o log files. Los archivos de registro son archivos generados por sistemas, aplicaciones o dispositivos para registrar eventos, errores, transacciones u otra información relevante.

LogFileParser puede procesar y analizar archivos de registro en varios formatos, como texto plano, CSV, XML o JSON, entre otros. La herramienta puede realizar tareas como filtrado, búsqueda, agrupamiento y cálculo de estadísticas sobre los datos del archivo de registro.

La herramienta es útil para administradores de sistemas, desarrolladores de software, informáticos forenses y otros profesionales que necesitan analizar y comprender los datos contenidos en los archivos de registro. Algunos de los casos de uso comunes incluyen la identificación de errores de sistema, la solución de problemas de aplicaciones, la detección de patrones y tendencias en los datos de registro, y la generación de informes.

Para hacerla funcionar, es necesario copiar el ZIP sobre una ruta más simple y se le debe proporcionar el CSV (que debe haber sido generado anteriormente con el mft2csv).

La diferencia entre el MFT y el LogFile es la cantidad de información que almacenan. El LogFile es un fichero más de transacciones que almacena muy poca información. Emplea el sistema de archivos en primera instancia para recuperarse cuando ocurre cualquier movimiento sobre los ficheros, cuando tenemos un fichero y de repente se nos cierra y queremos ver el estado en el que se encontraba. En este caso, Windows “tira” del fichero $LogFile y no de la MFT, aunque la MFT nos da más información que el LogFile.

Analizar el fichero $LogFile

Este archivo lo encontramos en la misma ruta que la MFT:

Como vemos, el tamaño de uno respecto a otro es bastante inferior.

Analizar el fichero $LogFile es igual que analizar la MFT. Lo primero que haremos es extraer el archivo, para ello clicamos encima del mismo y seleccionamos la opción que dice “Export Files”:

Ahora, vamos a abrir la herramienta LogFileParser y hacemos clic en el botón “Select LogFile”.

Con este programa también existe la opción de introducir el output de la herramienta anterior. Igual que la herramienta mactime se alimenta del fichero USN Journal, esta herramienta se alimenta del retrofichero de la MFT para obtener más datos o datos más precisos y darnos mayor información, o más bien información más completa sobre todas las entradas que hay en los files.

Este paso no es obligatorio; nosotros lo vamos a pasar ahora para que sea más rápido:

Y que comience a procesar:

¿Cómo aprender más?

Ya hemos visto qué es y cómo analizar el fichero $LogFile. Si quieres seguir aprendiendo sobre distintas áreas de la seguridad informática, aquí tenemos la formación intensiva e íntegra ideal para ti. Accede ya a nuestro Ciberseguridad Full Stack Bootcamp y descubre cómo puedes convertirte en profesional IT en pocos meses con el acompañamiento constante de profesionales en el mundillo. ¡Solicita ahora mismo más información y da el paso que transformará tu futuro!

Carlos Cilleruelo

CEO and co-founder of Byron Labs & Coordinador del Bootcamp en Ciberseguridad.

Posts más leídos

¡CONVOCATORIA ABIERTA!

Ciberseguridad

Full Stack Bootcamp

Clases en Directo | Profesores en Activo | Temario 100% actualizado