Como encontrar discos externos recentemente conectados?

2

Pouco de emergência, então qualquer ajuda realmente apreciada.

Estou tentando descobrir se existe ou não uma maneira de ver os detalhes (especificamente nomes) de unidades externas que foram conectadas à minha máquina nas últimas 6 semanas. Basicamente, um disco rígido com informações confidenciais desapareceu e eu gostaria de ver se alguma vez foi conectado à minha máquina. Alguém sabe como ou onde posso encontrar essas informações?

mavericks  security  external-disk  console 
KMJO
fonte

Respostas:

0

Os seguintes comandos mostrarão todos os discos externos que foram montados no seu Mac durante os últimos 7 dias (a menos que você tenha modificado o limite de conservação dos logs do sistema):

grep mounted /var/log/system.log
zgrep mounted /var/log/system.log.*

Se você gostaria de aumentar sua possibilidade de auditoria nesse tipo de evento, aqui está o caminho (para os que estão à vontade com a palestra do Unix):

  • abra o newsyslogarquivo de configuração:

    /usr/bin/sudo vi /etc/newsyslog.conf

  • altere a seguinte linha:

    /var/log/system.log                     640  7     *    @T00  J

    com:

    /var/log/system.log                     640  30    *    @T00  J

    (o que significa manter 30 versões dos meus /var/log/syslogarquivos antigos )

  • salve este modificado /etc/newsyslog.conf.

dan
fonte
0

Você pode pesquisar na sidebar.plist. 

~/Library/Preferences/com.apple.sidebarlists.plist

Quanto a quanto tempo isso vai voltar e quando é reescrito, não sei. Eu usei uma vez para ver se uma unidade específica foi montada em um sistema que não apareceu no system.log.

No Terminal.app, execute este comando.

defaults read ~/Library/Preferences/com.apple.sidebarlists.plist systemitems | grep "Name ="

Isso listará todas as unidades que foram montadas. O usuário acima especifica, se a pessoa tiver acesso a outras contas, você deverá executar o procedimento acima para ver também o histórico montado.

Editar:

Para encontrar apenas dispositivos USB , verifique o tipo de entrada 515.

defaults read ~/Library/Preferences/com.apple.sidebarlists.plist systemitems | grep -A 1 "EntryType = 515;"

Para o Firewire , seria 517:

defaults read ~/Library/Preferences/com.apple.sidebarlists.plist systemitems | grep -A 1 "EntryType = 517;"
tron_jones
fonte
Você pode reduzi-lo ao tipo de entrada, acredito que 515 é USB.
tron_jones
Obrigado rapazes. Eu tentei executar o comando Terminal acima e ele tem alguns resultados, mas não o que eu busco. Se houvesse uma maneira de reduzi-lo pelo FireWire, acho que poderia ter uma resposta, alguém sabe como eu faria isso?
KMJO
Vou editar acima para grep para USB ou Firewire. Você verificou o console.app? Essa seria a informação mais confiável.
tron_jones
Obrigado por isso. Já o executei, mas não parece voltar o suficiente. Você pode recomendar a melhor maneira de pesquisar no console? Estou procurando a primeira semana de novembro, que foi de 30 a 40 dias atrás. Eu sei o que a unidade foi (supostamente) chamada se isso ajuda?
KMJO
Acho que você não encontrará nada nos logs do sistema console.app que remontam de 30 a 40 dias. Você pode abrir o console.app e verificar os arquivos system.log abaixo de / var / log / e digitar "montado" na caixa de pesquisa no canto superior direito.
tron_jones
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.