MacOS da FSEvents ve APFS Journaling Windows dünyasında ise USN Journal Windows, dosya sistemi seviyesinde çalışan gizli bir kara kutu olarak kabul edilir. Kullanıcı farkında olmadan her dosya hareketini izler, silinen verilerin bile zaman damgalarını saklar ve adli bilişimde kritik rol oynar. Apple cephesinde ise uzun yıllar boyunca “macOS’ta buna benzer bir sistem yok” algısı oluşmuştur. Bu algı doğru değildir.
Apple macOS, Windows’taki USN Journal Windows yaklaşımını birebir kopyalamak yerine daha katmanlı ve parçalı bir mimari tercih eder. Bu mimarinin merkezinde FSEvents yer alır. Onu daha düşük seviyede APFS Journaling ve APFS Snapshots tamamlar. Bu üçlü birlikte değerlendirildiğinde, macOS’un da en az Windows kadar güçlü ve hatta bazı senaryolarda daha derin bir izleme altyapısına sahip olduğu net şekilde görülür.
Bu kapsamlı analizde, Apple’daki bu sistemleri tek tek ele alıyor, nasıl çalıştıklarını inceliyor ve en önemlisi Windows USN Journal Windows ile aralarındaki farkları net bir çizelgeyle ortaya koyuyoruz.
Apple’daki Karşılık: Genel Mimari
Apple macOS’ta USN Journal Windows karşılığı tek bir bileşen değildir. Bunun yerine iki ana katman vardır:
- FSEvents – Dosya sistemi olay izleme katmanı (birincil)
- APFS Journaling + Snapshots – Dosya sistemi bütünlüğü ve geçmiş katmanı (ikincil)
Bu yapı Apple’ın “tek kara kutu” yerine “dağıtık ama entegre kara kutu” yaklaşımını yansıtır.
FSEvents Nedir?
FSEvents (File System Events), macOS’un dosya sistemi üzerinde gerçekleşen değişiklikleri izleyen çekirdek seviyesinde bir mekanizmadır. İlk kez Mac OS X 10.5 Leopard ile tanıtılmıştır ve günümüze kadar sürekli geliştirilmiştir.
FSEvents’in temel görevi şudur: Dosya sistemi üzerinde bir şey olduğunda bunu kayda geçirmek ve ilgili sistem bileşenlerini bilgilendirmek.
Bu yaklaşım, Windows’taki USN Journal Windows ile birebir aynı felsefeye dayanır.
FSEvents Nasıl Çalışır?
FSEvents, dosya bazlı değil dizin bazlı çalışır. Yani tek tek dosyaların içeriğini değil, bir klasörde değişiklik olup olmadığını kaydeder. Ancak bu, izleme gücünü azaltmaz. Aksine büyük dosya sistemlerinde performans avantajı sağlar.
Bir dosya oluşturulduğunda, silindiğinde, taşındığında veya yeniden adlandırıldığında FSEvents ilgili dizin için bir olay kaydı oluşturur. Bu olaylar sıralı bir geçmiş halinde tutulur.
FSEvents’in Kaydettiği Olay Türleri
- Dosya oluşturma
- Dosya silme
- Dosya taşıma
- Dosya yeniden adlandırma
- Klasör değişiklikleri
- Metadata değişiklikleri
Bu kayıtlar, Spotlight, Time Machine, yedekleme yazılımları ve güvenlik araçları tarafından aktif şekilde kullanılır.
FSEvents Verileri Nerede Saklanır?
FSEvents kayıtları şu dizinde tutulur:
/System/Volumes/Data/.fseventsd/
Bu dizin:
- Finder’da görünmez
- Root yetkisi olmadan erişilemez
- Kullanıcı tarafından silinmesi engellenmiştir
Bu yönüyle FSEvents, NTFS içindeki USN Journal Windows yapısına oldukça benzer.
FSEvents Neden Apple’ın Gizli Kara Kutusu Olarak Görülür?
Çünkü FSEvents:
- Kullanıcıdan tamamen gizlidir
- Sistem kapanıp açılsa bile kayıt tutmaya devam eder
- Dosya silinse bile olay bilgisini saklar
- Adli bilişim incelemelerinde kullanılabilir
Bu özellikler FSEvents’i macOS ekosisteminin sessiz tanığı haline getirir.
APFS Journaling Nedir?
APFS Journaling, Apple File System’in veri bütünlüğünü sağlamak için kullandığı düşük seviyeli bir kayıt mekanizmasıdır. Windows’taki NTFS Journal yapısına çok benzer.
APFS Journaling’in temel amacı:
- Disk bütünlüğünü korumak
- Yarım kalan işlemleri geri almak
- Sistem çökmesi durumunda veri kaybını önlemek
Bu journal, kullanıcıya hiçbir zaman gösterilmez ve tamamen dosya sistemi çekirdeğinin kontrolündedir.
APFS Snapshots Nedir?
APFS Snapshot, dosya sisteminin belirli bir andaki halinin salt okunur bir kopyasını oluşturur. Bu, klasik yedeklemeden farklıdır. Snapshot, disk üzerinde ekstra alan kaplamadan, değişiklikleri referans alarak çalışır.
APFS Snapshots özellikle şu durumlarda devreye girer:
- Time Machine yedekleri
- Sistem güncellemeleri
- Sistem geri yükleme işlemleri
Bu yapı sayesinde bir dosya silinse bile, snapshot içinde var olmaya devam edebilir.
APFS Snapshots ve Kara Kutu Mantığı
Snapshot’lar doğrudan “olay günlüğü” değildir. Ancak geriye dönük inceleme açısından son derece değerlidir. Bir sistemde hangi dosyaların ne zaman var olduğu, hangi değişikliklerin yapıldığı snapshot’lar üzerinden analiz edilebilir.
Bu yönüyle APFS Snapshots, Windows’taki Volume Shadow Copy mekanizmasına benzer.
Windows USN Journal Windows ile Apple Sistemlerinin Karşılaştırması
| Özellik | Windows USN Journal | macOS FSEvents | APFS Journaling + Snapshots |
|---|---|---|---|
| Dosya Sistemi | NTFS | APFS / HFS+ | APFS |
| Çalışma Seviyesi | Dosya bazlı | Dizin bazlı | Dosya sistemi çekirdeği |
| Kullanıcıdan Gizli | Evet | Evet | Evet |
| Silinen Dosya İzleri | Evet | Evet (olay bazlı) | Evet (snapshot içinde) |
| Adli Bilişim Kullanımı | Yaygın | Yaygın | Yaygın |
| Performans Etkisi | Düşük | Çok düşük | Çok düşük |
| Devre Dışı Bırakılabilir mi | Geçici | Hayır | Hayır |
Adli Bilişim Açısından Apple ve Windows
Adli bilişim uzmanları için Windows ve macOS farklı yollar izler ama hedef aynıdır: sistemde ne oldu sorusuna cevap vermek.
Windows’ta bu cevap çoğunlukla USN Journal Windows üzerinden alınır. macOS’ta ise FSEvents, APFS Journaling ve Snapshots birlikte analiz edilir.
Gizlilik ve Güvenlik Perspektifi
Bu sistemler dosya içeriğini saklamaz. Ancak dosya adları, zaman damgaları ve klasör hareketleri kullanıcı davranışlarını analiz etmek için yeterlidir.
Bu nedenle hem Windows hem de macOS tarafında bu yapıların gizlilik boyutu ciddi şekilde ele alınmalıdır.
Apple’da USN Journal Var mı?
İsim olarak yok. Mantık olarak kesinlikle var.
FSEvents, macOS’un birincil dosya sistemi kara kutusudur. APFS Journaling ve Snapshots ise bu kara kutuyu tamamlayan düşük seviye kayıt katmanlarıdır.
Windows USN Journal Windows tek bir yapı olarak çalışırken, Apple bu işi daha dağıtık ama daha esnek bir mimariyle çözer. Sonuç olarak her iki platform da kullanıcıdan gizli, silinse bile iz bırakan ve sistemin hafızası olarak çalışan yapılara sahiptir.
Kaynaklar: Apple APFS dokümantasyonu, macOS çekirdek mimarisi incelemeleri, adli bilişim analiz raporları
