Protokolliert Ubuntu, wenn USB-Geräte angeschlossen sind?

18

Wenn ich ein USB-Laufwerk an ein Ubuntu-Betriebssystem anschließe, gibt es eine Textdatei mit Details zu dieser Verbindung. Wenn ja, wo befindet sich diese Datei? Wie heißt diese Datei?

usb mount log Neil
quelle

Antworten:

25

Protokolliert Ubuntu, wenn USB-Geräte angeschlossen sind?

Ja , Ubuntu protokolliert, wenn ein USB-Gerät angeschlossen ist. Die Datei ist /var/log/syslog. Sie können es auch anzeigen, indem Sie den Befehl dmesg -ceingeben oder grafisch verwenden Log file viewer.

Wird diese Datei beim Herunterfahren gelöscht?

Nein , dieses Protokoll wird beim Herunterfahren nicht gelöscht . Nach einer Größenbeschränkung der Protokolle gedreht erreicht ist, werden neue Protokoll Bedeutung kontinuierlich geschrieben , /var/log/syslogwährend ältere Datensätze in komprimierten Dateien mit dem Namen gedrückt werden /var/log/syslog.1.gz, syslog.2.gz... im gleichen /var/logVerzeichnis.

Sie können das /var/logVerzeichnis mit den folgenden gedrehten Protokolldateien anzeigen :

Bildbeschreibung hier eingeben

Anwar
quelle
Wird dieses Protokoll beim Herunterfahren des Systems gelöscht? Oder ist es nach einer bestimmten Anzahl von MBs ausgefallen?
Neil
Ich habe die Antwort entsprechend Ihrer Frage bearbeitet
Anwar
2
Wenn Sie genau sehen möchten, was in Echtzeit protokolliert wird, können Sie tail -f /var/log/syslogden Bildschirm leeren und dann das USB-Gerät anschließen.
Nathan Long
dmesg -czeigt das dmesg-Protokoll an und löscht es :(
madebydavid
11

Der Bereich, den ich betrachte, ist:

sudo cat /var/log/kern.log | grep usb

Die Ausgabe würde folgendermaßen aussehen:

May 25 07:38:51 mycomputer kernel: [  607.296847] scsi7 : usb-storage 3-1:1.0
May 25 07:38:54 mycomputer kernel: [  609.790892] usb 3-2: new high-speed USB device number 3 using xhci_hcd
May 25 07:38:54 mycomputer kernel: [  609.817462] usb 3-2: ep 0x81 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:54 mycomputer kernel: [  609.817474] usb 3-2: ep 0x2 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:54 mycomputer kernel: [  609.818399] usb-storage 3-2:1.0: Quirks match for vid 13fe pid 3600: 4000
May 25 07:38:54 mycomputer kernel: [  609.818529] scsi8 : usb-storage 3-2:1.0

Es gibt auch komprimierte Protokolle für kern.log. Sie können diese mit dem folgenden Befehl durchsuchen:

sudo zcat /var/log/kern.log.2.gz | grep usb

Die Ausgabe hätte dasselbe Format wie im obigen Beispiel.

Sie können das Syslog auch wie folgt durchsuchen:

sudo cat /var/log/syslog.1 | grep usb

Dies gibt Ihnen Ergebnisse, die so aussehen:

May 25 07:31:25 tardis-w520 kernel: [  161.469096] usb 1-1.5.5: new high-speed USB device number 8 using ehci_hcd
May 25 07:31:25 tardis-w520 mtp-probe: checking bus 1, device 8: "/sys/devices/pci0000:00/0000:00:1a.0/usb1/1-1/1-1.5/1-1.5.5"
May 25 07:31:25 tardis-w520 kernel: [  161.658587] scsi6 : usb-storage 1-1.5.5:1.0
May 25 07:31:25 tardis-w520 kernel: [  161.658685] usbcore: registered new interface driver usb-storage
May 25 07:31:25 tardis-w520 kernel: [  161.795563] usbcore: registered new interface driver uas
May 25 07:38:51 tardis-w520 kernel: [  607.268280] usb 3-1: new high-speed USB device number 2 using xhci_hcd
May 25 07:38:51 tardis-w520 kernel: [  607.293280] usb 3-1: ep 0x81 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:51 tardis-w520 kernel: [  607.293292] usb 3-1: ep 0x2 - rounding interval to 32768 microframes, ep desc says 0 microframes

So listen Sie die .gz-Protokolldateien auf:

sudo zcat /var/log/syslog.2.gz | grep usb

Die resultierende Ausgabe hätte dasselbe Format wie die vorherige.

Wenn dies für forensische Zwecke ist, kann es einen besseren Weg geben.

cprofitt
quelle
Das Kern.log wird nach dem Herunterfahren nicht gelöscht. Das Syslog auch nicht. Beide werden nach einer Weile komprimiert.
cprofitt