Windows 2019: не могу понять, почему мой диск заполнен

Вы можете попробовать WizTree (wiztreefree.com), который похож на WinDirStat, но обходит драйвер файловой системы и напрямую считывает MFT, если запущен от имени администратора. Он покажет место, занятое альтернативными потоками данных, файлами метаданных ($MFT, $Secure, $BadClus и т. д.) и каталогами, к которым у вас нет доступа. Похоже, он не показывает место, выделенное для индексов каталогов, и может упустить некоторые другие вещи, но я не удивлюсь, если виновник все же обнаружится.

Я больше не мог редактировать свой комментарий, поэтому публикую его как ответ.

Я однажды столкнулся с таким инцидентом: это было связано с Alternate Data Streams, функцией NTFS для классической совместимости MacOS в общих папках. К сожалению, эта злополучная функция может быть использована в вредоносных целях. Проще говоря, ее можно использовать для заполнения вашего диска, но зарезервированное пространство не может быть обнаружено, как в вашем случае. Если вы хотите проверить это, я предлагаю инструмент MS sysinternals,потоки.

Просто имейте в виду, что они используются в некоторых законных случаях, например, их использует сервер MS SQL до 2014 года.

Разрешения по умолчанию C:\System Volume Informationдля NT AUTHORITY\SYSTEM:(OI)(CI)F. Это означает, что даже при запуске от имени администратора вы обычно не можете видеть файлы в нем. Вы можете использовать , например, psexecдля запуска приложения под учетной записью локальной системы, что затем позволит WinDirStat и т. д. отображать все, или вы можете использовать его для добавления Administratorsв ACL. В частности, если вы используете предыдущие версии, то теневые копии тома хранятся в этом каталоге, и они могут быть довольно большими.

Это было очень полезно. Я обнаружил, что Windows Server 2019 установил размер журнала диагностики отказоустойчивой кластеризации по умолчанию на 18014398507384832 КБ (!), поэтому диск сервера заполнялся. WinDirStat не показал этот файл .EVTX, но WizTree его идентифицировал. Спас день.