¿Ubuntu registra cuando los dispositivos USB están conectados?

Cuando conecto una unidad USB a un sistema operativo Ubuntu, ¿habría un archivo de texto que contenga detalles de esa conexión y, de ser así, dónde está ubicado ese archivo? ¿Cuál es el nombre de ese archivo?

usb mount log Neil
fuente

Respuestas:

¿Ubuntu registra cuando los dispositivos USB están conectados?

Sí , Ubuntu se registra cuando se conecta un dispositivo USB. El archivo es /var/log/syslog. También puede verlo emitiendo el comando dmesg -co usando gráficamente Log file viewer.

¿Este archivo se elimina al apagar?

No , este registro no se borra al apagarlo. Después de que se alcanza un límite de tamaño de los registros se hacen girar, lo que significa nuevos registros se escriben continuamente /var/log/syslog, mientras que los documentos más antiguos son empujados a los archivos comprimidos con nombre /var/log/syslog.1.gz, syslog.2.gz, ... en el mismo /var/logdirectorio.

Puede ver el /var/logdirectorio con los archivos de registro rotados a continuación:

ingrese la descripción de la imagen aquí

Anwar
fuente

¿Este registro se borra al apagar el sistema? ¿O está caído después de un número particular de MB?

Neil

He editado la respuesta de acuerdo a su pregunta

Anwar

Si desea ver exactamente lo que se registra en tiempo real, puede tail -f /var/log/syslogborrar la pantalla y luego conectar el dispositivo USB.

Nathan Long

dmesg -cmostrará y borrará el registro dmesg :(

madebydavid

El área que miro es:

sudo cat /var/log/kern.log | grep usb

El resultado sería el siguiente:

May 25 07:38:51 mycomputer kernel: [  607.296847] scsi7 : usb-storage 3-1:1.0
May 25 07:38:54 mycomputer kernel: [  609.790892] usb 3-2: new high-speed USB device number 3 using xhci_hcd
May 25 07:38:54 mycomputer kernel: [  609.817462] usb 3-2: ep 0x81 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:54 mycomputer kernel: [  609.817474] usb 3-2: ep 0x2 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:54 mycomputer kernel: [  609.818399] usb-storage 3-2:1.0: Quirks match for vid 13fe pid 3600: 4000
May 25 07:38:54 mycomputer kernel: [  609.818529] scsi8 : usb-storage 3-2:1.0

También hay registros comprimidos para kern.log. Puede buscarlos con el siguiente comando:

sudo zcat /var/log/kern.log.2.gz | grep usb

La salida estaría en el mismo formato que el ejemplo anterior.

También puede buscar el syslog de la siguiente manera:

sudo cat /var/log/syslog.1 | grep usb

Esto le da resultados que se ven así:

May 25 07:31:25 tardis-w520 kernel: [  161.469096] usb 1-1.5.5: new high-speed USB device number 8 using ehci_hcd
May 25 07:31:25 tardis-w520 mtp-probe: checking bus 1, device 8: "/sys/devices/pci0000:00/0000:00:1a.0/usb1/1-1/1-1.5/1-1.5.5"
May 25 07:31:25 tardis-w520 kernel: [  161.658587] scsi6 : usb-storage 1-1.5.5:1.0
May 25 07:31:25 tardis-w520 kernel: [  161.658685] usbcore: registered new interface driver usb-storage
May 25 07:31:25 tardis-w520 kernel: [  161.795563] usbcore: registered new interface driver uas
May 25 07:38:51 tardis-w520 kernel: [  607.268280] usb 3-1: new high-speed USB device number 2 using xhci_hcd
May 25 07:38:51 tardis-w520 kernel: [  607.293280] usb 3-1: ep 0x81 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:51 tardis-w520 kernel: [  607.293292] usb 3-1: ep 0x2 - rounding interval to 32768 microframes, ep desc says 0 microframes

Para enumerar los archivos de registro .gz:

sudo zcat /var/log/syslog.2.gz | grep usb

El resultado resultante estaría en el mismo formato que el anterior.

Si esto es para fines forenses, puede haber una mejor manera.

cprofitt
fuente

Kern.log no se elimina después del apagado. Tampoco el syslog. Ambos se comprimen después de un tiempo.

cprofitt