Ubuntu registra quando sono collegati dispositivi USB?

18

Quando collego un'unità USB a un sistema operativo Ubuntu, ci sarebbe un file di testo che contiene i dettagli di quella connessione e, in tal caso, dove si trova quel file? Qual è il nome di quel file?

usb  mount  log 
Neil
fonte

Risposte:

25

Ubuntu registra quando sono collegati dispositivi USB?

, Ubuntu registra quando è collegato un dispositivo USB. Il file è /var/log/syslog. Puoi anche visualizzarlo emettendo il comando dmesg -co usando graficamente Log file viewer.

Questo file viene eliminato all'arresto?

No , questo registro non viene cancellato all'arresto. Una volta raggiunto un limite di dimensione dei registri sono ruotate, il che significa nuovi registri sono continuamente scritti /var/log/syslog, mentre i record più anziani sono spinti in file compressi denominati /var/log/syslog.1.gz, syslog.2.gz, ... nella stessa /var/logdirectory.

Di seguito è possibile visualizzare la /var/logdirectory con i file di registro ruotati:

inserisci qui la descrizione dell'immagine

Anwar
fonte
Questo registro viene cancellato allo spegnimento del sistema? O è in calo dopo un determinato numero di MB?
Neil,
Ho modificato la risposta in base alla tua domanda
Anwar,
2
Se vuoi vedere esattamente cosa viene registrato in tempo reale, puoi tail -f /var/log/syslogcancellare lo schermo, quindi collegare il dispositivo USB.
Nathan Long,
dmesg -cvisualizzerà e cancellerà il registro dmesg :(
madebydavid il
11

L'area che guardo è:

sudo cat /var/log/kern.log | grep usb

L'output sarebbe simile al seguente:

May 25 07:38:51 mycomputer kernel: [  607.296847] scsi7 : usb-storage 3-1:1.0
May 25 07:38:54 mycomputer kernel: [  609.790892] usb 3-2: new high-speed USB device number 3 using xhci_hcd
May 25 07:38:54 mycomputer kernel: [  609.817462] usb 3-2: ep 0x81 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:54 mycomputer kernel: [  609.817474] usb 3-2: ep 0x2 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:54 mycomputer kernel: [  609.818399] usb-storage 3-2:1.0: Quirks match for vid 13fe pid 3600: 4000
May 25 07:38:54 mycomputer kernel: [  609.818529] scsi8 : usb-storage 3-2:1.0

Ci sono anche registri compressi per kern.log Puoi cercare quelli con il seguente comando:

sudo zcat /var/log/kern.log.2.gz | grep usb

L'output sarebbe nello stesso formato dell'esempio sopra.

Puoi anche cercare nel syslog come segue:

sudo cat /var/log/syslog.1 | grep usb

Questo ti dà risultati che assomigliano a questo:

May 25 07:31:25 tardis-w520 kernel: [  161.469096] usb 1-1.5.5: new high-speed USB device number 8 using ehci_hcd
May 25 07:31:25 tardis-w520 mtp-probe: checking bus 1, device 8: "/sys/devices/pci0000:00/0000:00:1a.0/usb1/1-1/1-1.5/1-1.5.5"
May 25 07:31:25 tardis-w520 kernel: [  161.658587] scsi6 : usb-storage 1-1.5.5:1.0
May 25 07:31:25 tardis-w520 kernel: [  161.658685] usbcore: registered new interface driver usb-storage
May 25 07:31:25 tardis-w520 kernel: [  161.795563] usbcore: registered new interface driver uas
May 25 07:38:51 tardis-w520 kernel: [  607.268280] usb 3-1: new high-speed USB device number 2 using xhci_hcd
May 25 07:38:51 tardis-w520 kernel: [  607.293280] usb 3-1: ep 0x81 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:51 tardis-w520 kernel: [  607.293292] usb 3-1: ep 0x2 - rounding interval to 32768 microframes, ep desc says 0 microframes

Per elencare i file di registro .gz dovresti:

sudo zcat /var/log/syslog.2.gz | grep usb

L'output risultante sarebbe nello stesso formato del precedente.

Se questo è per scopi forensi, potrebbe esserci un modo migliore.

cprofitt
fonte
Kern.log non viene eliminato dopo l'arresto. Nemmeno il syslog. Entrambi vengono compressi dopo un po '.
cprofitt,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.