Czy Ubuntu loguje się, gdy podłączone są urządzenia USB?

18

Czy po podłączeniu dysku USB do systemu operacyjnego Ubuntu byłby plik tekstowy zawierający szczegóły tego połączenia, a jeśli tak, to gdzie znajduje się ten plik? Jak nazywa się ten plik?

usb mount log Neil
źródło

Odpowiedzi:

25

Czy Ubuntu loguje się, gdy podłączone są urządzenia USB?

Tak , Ubuntu loguje się, gdy podłączone jest urządzenie USB. Plik jest /var/log/syslog. Możesz go również wyświetlić, wydając polecenie dmesg -club używając graficznie Log file viewer.

Czy ten plik jest usuwany po wyłączeniu?

Nie , ten dziennik nie zostanie wyczyszczony po wyłączeniu. Po osiągnięciu limitu rozmiaru dzienniki są obracane, czyli nowe dzienniki są zapisywane w sposób ciągły /var/log/syslog, podczas gdy starsze zapisy są wypychane do skompresowanych plików nazwanych /var/log/syslog.1.gz, syslog.2.gz... w tym samym /var/logkatalogu.

Możesz wyświetlić /var/logkatalog z obróconymi plikami dziennika poniżej:

wprowadź opis zdjęcia tutaj

Anwar
źródło
Czy ten dziennik zostanie wyczyszczony po zamknięciu systemu? Czy jest to po określonej liczbie MB?
Neil,
Zredagowałem odpowiedź zgodnie z twoim pytaniem
Anwar
2
Jeśli chcesz zobaczyć, co jest rejestrowane w czasie rzeczywistym, możesz tail -f /var/log/syslogwyczyścić ekran, a następnie podłączyć urządzenie USB.
Nathan Long
dmesg -cwyświetli i wyczyści dziennik dmesg :(
madebydavid
11

Obszar, na który patrzę to:

sudo cat /var/log/kern.log | grep usb

Dane wyjściowe wyglądałyby następująco:

May 25 07:38:51 mycomputer kernel: [  607.296847] scsi7 : usb-storage 3-1:1.0
May 25 07:38:54 mycomputer kernel: [  609.790892] usb 3-2: new high-speed USB device number 3 using xhci_hcd
May 25 07:38:54 mycomputer kernel: [  609.817462] usb 3-2: ep 0x81 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:54 mycomputer kernel: [  609.817474] usb 3-2: ep 0x2 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:54 mycomputer kernel: [  609.818399] usb-storage 3-2:1.0: Quirks match for vid 13fe pid 3600: 4000
May 25 07:38:54 mycomputer kernel: [  609.818529] scsi8 : usb-storage 3-2:1.0

Istnieją również skompresowane dzienniki dla kern.log. Możesz przeszukiwać je za pomocą następującego polecenia:

sudo zcat /var/log/kern.log.2.gz | grep usb

Dane wyjściowe będą miały ten sam format, co w powyższym przykładzie.

Możesz także przeszukać syslog w następujący sposób:

sudo cat /var/log/syslog.1 | grep usb

To daje wyniki, które wyglądają tak:

May 25 07:31:25 tardis-w520 kernel: [  161.469096] usb 1-1.5.5: new high-speed USB device number 8 using ehci_hcd
May 25 07:31:25 tardis-w520 mtp-probe: checking bus 1, device 8: "/sys/devices/pci0000:00/0000:00:1a.0/usb1/1-1/1-1.5/1-1.5.5"
May 25 07:31:25 tardis-w520 kernel: [  161.658587] scsi6 : usb-storage 1-1.5.5:1.0
May 25 07:31:25 tardis-w520 kernel: [  161.658685] usbcore: registered new interface driver usb-storage
May 25 07:31:25 tardis-w520 kernel: [  161.795563] usbcore: registered new interface driver uas
May 25 07:38:51 tardis-w520 kernel: [  607.268280] usb 3-1: new high-speed USB device number 2 using xhci_hcd
May 25 07:38:51 tardis-w520 kernel: [  607.293280] usb 3-1: ep 0x81 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:51 tardis-w520 kernel: [  607.293292] usb 3-1: ep 0x2 - rounding interval to 32768 microframes, ep desc says 0 microframes

Aby wyświetlić listę plików dziennika .gz, należy:

sudo zcat /var/log/syslog.2.gz | grep usb

Wynikowy wynik byłby w tym samym formacie co poprzedni.

Jeśli jest to do celów kryminalistycznych, może być lepszy sposób.

cprofitt
źródło
Kern.log nie zostanie usunięty po zamknięciu. Syslog też nie. Obie kompresują się po chwili.
cprofitt