Недавно у нас украли программный ключ USB, содержащий очень дорогое программное обеспечение. Если мы сможем выяснить, в какую дату / время это было сделано за последние 3 недели, мы, вероятно, сможем определить, кто это сделал. Сохраняет ли OS X логи удаленных USB-устройств и, если да, как мы можем получить к ним доступ?
1 ответ
3
Это может быть полезно, но вы должны использовать терминал. Мы будем искать правильные даты в файле системного журнала. После того, как мы нашли первый удар, мы продолжаем исследовать, какой у него USB-идентификатор.
Прежде всего, откройте терминал из центра внимания или Приложения / Утилиты / Terminal.app
Переключиться в каталог журналов:
$ cd /var/log
Проверьте текущий файл журнала после даты, предшествующей краже устройства.
$ head system.log
Если дата или время не верны, продолжайте анализировать старые файлы. Первая команда показывает количество файлов журнала, которые начинаются с имени "система". И после того, как вы узнали, сколько у вас файлов, вы должны сделать то же самое, что и раньше. Проверьте правильность даты с помощью другой команды.
$ ls -a system*
$ bzcat system.log.xx.bz2 | head
После того, как вы выяснили правильные файлы журнала, продолжайте проверять время.
Хорошо, теперь вы нашли правильный файл на правильную дату. Попробуем найти правильный номер идентификатора.
$ bzcat system.log.xx.bz2 | grep USBMSC
Вывод должен быть легким для понимания, как этот.
Jun 23 10:59:09 kernel[0]: USBMSC Identifier (non-unique): XXXXXXXXXXXXXXXXXXXXXX
Если вы считаете, что нашли USB-идентификатор, убедитесь, что он правильный, прежде чем предполагать, кто его украл.
Используйте ту же команду, что и раньше, и попытайтесь найти этот идентификатор в новых файлах журналов с помощью этой команды.
$ bzcat system.log.xx.bz2 | grep XXXXXXX ( the usb identifier number )
Вы не сможете найти никаких результатов, но, вероятно, в старых файлах, если вы использовали устройство USB более одного раза.