当 USB 设备连接时 Ubuntu 会记录吗？

Question 1

当 USB 设备连接时 Ubuntu 会记录吗？

是的, 乌班图日志当 USB 设备连接时。文件为/var/log/syslog。您也可以通过发出命令dmesg（带有-c清除日志的可选参数）或使用以图形方式查看它Log file viewer。

关机时这个文件会被删除吗？

不，这个日志确实不会被抹去关机时。达到大小限制后，日志将轮换，这意味着将不断写入新日志，/var/log/syslog而旧记录将推送到同一目录中名为/var/log/syslog.1.gz、、... 的压缩文件中。syslog.2.gz/var/log

您可以/var/log在下面查看包含轮换日志文件的目录：

在此处输入图片描述

Answer

当 USB 设备连接时 Ubuntu 会记录吗？

是的, 乌班图日志当 USB 设备连接时。文件为/var/log/syslog。您也可以通过发出命令dmesg（带有-c清除日志的可选参数）或使用以图形方式查看它Log file viewer。

关机时这个文件会被删除吗？

不，这个日志确实不会被抹去关机时。达到大小限制后，日志将轮换，这意味着将不断写入新日志，/var/log/syslog而旧记录将推送到同一目录中名为/var/log/syslog.1.gz、、... 的压缩文件中。syslog.2.gz/var/log

您可以/var/log在下面查看包含轮换日志文件的目录：

在此处输入图片描述

Question 2

我关注的区域是：

sudo cat /var/log/kern.log | grep usb

输出如下所示：

May 25 07:38:51 mycomputer kernel: [  607.296847] scsi7 : usb-storage 3-1:1.0
May 25 07:38:54 mycomputer kernel: [  609.790892] usb 3-2: new high-speed USB device number 3 using xhci_hcd
May 25 07:38:54 mycomputer kernel: [  609.817462] usb 3-2: ep 0x81 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:54 mycomputer kernel: [  609.817474] usb 3-2: ep 0x2 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:54 mycomputer kernel: [  609.818399] usb-storage 3-2:1.0: Quirks match for vid 13fe pid 3600: 4000
May 25 07:38:54 mycomputer kernel: [  609.818529] scsi8 : usb-storage 3-2:1.0

还有 kern.log 的压缩日志，您可以使用以下命令搜索这些日志：

sudo zcat /var/log/kern.log.2.gz | grep usb

输出的格式与上面的例子相同。

您还可以按如下方式搜索系统日志：

sudo cat /var/log/syslog.1 | grep usb

这会给出如下结果：

May 25 07:31:25 tardis-w520 kernel: [  161.469096] usb 1-1.5.5: new high-speed USB device number 8 using ehci_hcd
May 25 07:31:25 tardis-w520 mtp-probe: checking bus 1, device 8: "/sys/devices/pci0000:00/0000:00:1a.0/usb1/1-1/1-1.5/1-1.5.5"
May 25 07:31:25 tardis-w520 kernel: [  161.658587] scsi6 : usb-storage 1-1.5.5:1.0
May 25 07:31:25 tardis-w520 kernel: [  161.658685] usbcore: registered new interface driver usb-storage
May 25 07:31:25 tardis-w520 kernel: [  161.795563] usbcore: registered new interface driver uas
May 25 07:38:51 tardis-w520 kernel: [  607.268280] usb 3-1: new high-speed USB device number 2 using xhci_hcd
May 25 07:38:51 tardis-w520 kernel: [  607.293280] usb 3-1: ep 0x81 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:51 tardis-w520 kernel: [  607.293292] usb 3-1: ep 0x2 - rounding interval to 32768 microframes, ep desc says 0 microframes

要列出 .gz 日志文件，您需要：

sudo zcat /var/log/syslog.2.gz | grep usb

最终的输出格式与之前的相同。

如果这是出于取证目的，可能有更好的方法。

Answer

我关注的区域是：

sudo cat /var/log/kern.log | grep usb

输出如下所示：

May 25 07:38:51 mycomputer kernel: [  607.296847] scsi7 : usb-storage 3-1:1.0
May 25 07:38:54 mycomputer kernel: [  609.790892] usb 3-2: new high-speed USB device number 3 using xhci_hcd
May 25 07:38:54 mycomputer kernel: [  609.817462] usb 3-2: ep 0x81 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:54 mycomputer kernel: [  609.817474] usb 3-2: ep 0x2 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:54 mycomputer kernel: [  609.818399] usb-storage 3-2:1.0: Quirks match for vid 13fe pid 3600: 4000
May 25 07:38:54 mycomputer kernel: [  609.818529] scsi8 : usb-storage 3-2:1.0

还有 kern.log 的压缩日志，您可以使用以下命令搜索这些日志：

sudo zcat /var/log/kern.log.2.gz | grep usb

输出的格式与上面的例子相同。

您还可以按如下方式搜索系统日志：

sudo cat /var/log/syslog.1 | grep usb

这会给出如下结果：

May 25 07:31:25 tardis-w520 kernel: [  161.469096] usb 1-1.5.5: new high-speed USB device number 8 using ehci_hcd
May 25 07:31:25 tardis-w520 mtp-probe: checking bus 1, device 8: "/sys/devices/pci0000:00/0000:00:1a.0/usb1/1-1/1-1.5/1-1.5.5"
May 25 07:31:25 tardis-w520 kernel: [  161.658587] scsi6 : usb-storage 1-1.5.5:1.0
May 25 07:31:25 tardis-w520 kernel: [  161.658685] usbcore: registered new interface driver usb-storage
May 25 07:31:25 tardis-w520 kernel: [  161.795563] usbcore: registered new interface driver uas
May 25 07:38:51 tardis-w520 kernel: [  607.268280] usb 3-1: new high-speed USB device number 2 using xhci_hcd
May 25 07:38:51 tardis-w520 kernel: [  607.293280] usb 3-1: ep 0x81 - rounding interval to 32768 microframes, ep desc says 0 microframes
May 25 07:38:51 tardis-w520 kernel: [  607.293292] usb 3-1: ep 0x2 - rounding interval to 32768 microframes, ep desc says 0 microframes

要列出 .gz 日志文件，您需要：

sudo zcat /var/log/syslog.2.gz | grep usb

最终的输出格式与之前的相同。

如果这是出于取证目的，可能有更好的方法。

当 USB 设备连接时 Ubuntu 会记录吗？

答案1

当 USB 设备连接时 Ubuntu 会记录吗？

关机时这个文件会被删除吗？

答案2

相关内容