DeviceIoControl 是读取 NTFS USN 日志的唯一可靠方式,需用 \?X: 格式打开卷、管理员权限、正确解析 V2/V3 记录结构,并严格校验 USN 断层与资源释放。
如何用 DeviceIoControl 读取 NTFS USN 日志
直接调用 Windows API 是唯一可靠方式,.NET 没有封装 USN Journal 的高层接口。你得自己构造 USN_JOURNAL_DATA、READ_USN_JOURNAL_DATA 结构体,再通过 DeviceIoControl 向卷句柄发 FSCTL_READ_USN_JOURNAL 请求。
常见错误是传错卷路径(比如用 C:myfolder 而不是 \\?\C:),或没以管理员权限运行——没有 SE_MANAGE_VOLUME_NAME 权限会直接返回 ERROR_ACCESS_DENIED。
- 必须用
\\?\X:格式打开卷,CreateFile的dwDesiredAccess至少要含GENERIC_READ和FILE_SHARE_READ -
READ_USN_JOURNAL_DATA.StartUsn别硬写 0,首次应先调FSCTL_QUERY_USN_JOURNAL拿当前最低/最高 USN,否则可能读到陈旧日志甚至报ERROR_HANDLE_EOF - 每次读完要保存
NextUsn,它才是下一次请求的合法StartUsn;用UsnJournalID校验日志是否被清空过
USN_RECORD_V2 和 USN_RECORD_V3 字段怎么解析
NTFS 返回的 USN 记录是变长结构,版本由 RecordLength 和 MajorVersion 决定。V2(Win7~10)和 V3(Win10 1809+)字段偏移不同,硬按固定 offset 读 FileNameOffset 或 FileNameLength 会导致乱码或崩溃。
典型现象:文件名显示为一堆问号或中文变成方块,其实是把 V3 的 FileNameOffset 当 V2 解析了(V3 多了 Reason 和 SourceInfo 字段)。
- 务必先检查
MajorVersion:V2 是 2,V3 是 3;MinorVersion可忽略 - V2 中
FileNameOffset = 64,V3 中是80;FileNameLength单位是字节,不是字符数,需用Encoding.Unicode.GetString()转换 -
Reason字段值是位掩码,USN_REASON_RENAME_NEW_NAME和USN_REASON_RENAME_OLD_NAME会分两条记录出现,别当成两个独立重命名事件
为什么 FSCTL_READ_USN_JOURNAL 突然返回 0 条记录
不是代码错了,大概率是日志被系统回收或手动清空了。USN Journal 有大小上限(默认约 32MB),满后旧记录会被覆盖;管理员执行 fsutil usn deletejournal /d C: 也会清零。
错误做法是发现没数据就立刻重试或报错退出。正确响应是查 USN_JOURNAL_DATA.FirstUsn 是否大于上次保存的 LowestValidUsn——如果大,说明中间有断层,只能全量扫描目录补漏。
- 每次成功读取后,用
USN_JOURNAL_DATA.LowestValidUsn更新本地 checkpoint,它代表“最早还能读到的有效 USN” - 若新查到的
FirstUsn > LastKnownUsn + 1,说明丢失变更,需触发 fallback 扫描(例如用Directory.EnumerateFiles+FileInfo.LastWriteTimeUtc对比) - 不要依赖
MaximumSize做预分配缓冲区,实际单次最多返回约 1MB 数据,超了会截断并设ERROR_MORE_DATA
C# 中怎么安全释放 USN Journal 句柄和内存
卷句柄泄漏会导致后续无法打开同一卷,而未 Marshal.FreeHGlobal 的 USN 缓冲区会引发内存持续增长。这不是 GC 能自动收拾的问题。
最常踩的坑是把 Marshal.AllocHGlobal 分配的缓冲区交给异步回调使用,回调里忘了 FreeHGlobal;或者 CloseHandle 调用失败却没检查返回值,句柄实际还在。
- 用
using var handle = new SafeFileHandle(...)包裹卷句柄,确保Dispose()调用CloseHandle - USN 缓冲区必须显式
Marshal.FreeHGlobal(ptr),且只在确定不再访问该内存后调用(尤其注意多线程场景下指针是否还在被其他线程读) - 调
CloseHandle前确认所有DeviceIoControl调用已完成,否则可能触发 STATUS_INVALID_HANDLE
USN Journal 不是开箱即用的同步方案,它省的是遍历时间,但换来了对卷状态、权限、版本兼容性的强依赖。漏掉任意一个 checkpoint 校验或权限检查,同步就会无声地出错。
