Cuando conecto una unidad USB a un sistema operativo Ubuntu, ¿habría un archivo de texto que contenga detalles de esa conexión y, de ser así, dónde está ubicado ese archivo? ¿Cuál es el nombre de ese archivo?
18
Sí , Ubuntu se registra cuando se conecta un dispositivo USB. El archivo es /var/log/syslog. También puede verlo emitiendo el comando dmesg -co usando gráficamente Log file viewer.
No , este registro no se borra al apagarlo. Después de que se alcanza un límite de tamaño de los registros se hacen girar, lo que significa nuevos registros se escriben continuamente /var/log/syslog, mientras que los documentos más antiguos son empujados a los archivos comprimidos con nombre /var/log/syslog.1.gz, syslog.2.gz, ... en el mismo /var/logdirectorio.
Puede ver el /var/logdirectorio con los archivos de registro rotados a continuación:
El área que miro es:
sudo cat /var/log/kern.log | grep usb
El resultado sería el siguiente:
May 25 07:38:51 mycomputer kernel: [ 607.296847] scsi7 : usb-storage 3-1:1.0
May 25 07:38:54 mycomputer kernel: [ 609.790892] usb 3-2: new high-speed USB device number 3 using xhci_hcd
May 25 07:38:54 mycomputer kernel: [ 609.817462] usb 3-2: ep 0x81 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:54 mycomputer kernel: [ 609.817474] usb 3-2: ep 0x2 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:54 mycomputer kernel: [ 609.818399] usb-storage 3-2:1.0: Quirks match for vid 13fe pid 3600: 4000
May 25 07:38:54 mycomputer kernel: [ 609.818529] scsi8 : usb-storage 3-2:1.0
También hay registros comprimidos para kern.log. Puede buscarlos con el siguiente comando:
sudo zcat /var/log/kern.log.2.gz | grep usb
La salida estaría en el mismo formato que el ejemplo anterior.
También puede buscar el syslog de la siguiente manera:
sudo cat /var/log/syslog.1 | grep usb
Esto le da resultados que se ven así:
May 25 07:31:25 tardis-w520 kernel: [ 161.469096] usb 1-1.5.5: new high-speed USB device number 8 using ehci_hcd
May 25 07:31:25 tardis-w520 mtp-probe: checking bus 1, device 8: "/sys/devices/pci0000:00/0000:00:1a.0/usb1/1-1/1-1.5/1-1.5.5"
May 25 07:31:25 tardis-w520 kernel: [ 161.658587] scsi6 : usb-storage 1-1.5.5:1.0
May 25 07:31:25 tardis-w520 kernel: [ 161.658685] usbcore: registered new interface driver usb-storage
May 25 07:31:25 tardis-w520 kernel: [ 161.795563] usbcore: registered new interface driver uas
May 25 07:38:51 tardis-w520 kernel: [ 607.268280] usb 3-1: new high-speed USB device number 2 using xhci_hcd
May 25 07:38:51 tardis-w520 kernel: [ 607.293280] usb 3-1: ep 0x81 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:51 tardis-w520 kernel: [ 607.293292] usb 3-1: ep 0x2 - rounding interval to 32768 microframes, ep desc says 0 microframes
Para enumerar los archivos de registro .gz:
sudo zcat /var/log/syslog.2.gz | grep usb
El resultado resultante estaría en el mismo formato que el anterior.
Si esto es para fines forenses, puede haber una mejor manera.
tail -f /var/log/syslogborrar la pantalla y luego conectar el dispositivo USB.dmesg -cmostrará y borrará el registro dmesg :(