Comment trouver des disques externes récemment connectés?

2

Un peu d'urgence alors toute aide vraiment appréciée.

J'essaie de déterminer s'il existe un moyen de voir les détails (en particulier les noms) des disques externes connectés à ma machine au cours des 6 dernières semaines. En gros, un disque dur contenant des informations confidentielles a disparu et j'aimerais savoir s'il a déjà été connecté à ma machine. Quelqu'un sait-il comment ou où je peux trouver ces informations?

mavericks  security  external-disk  console 
KMJO
source

Réponses:

0

Les commandes suivantes vous montreront tous les disques externes montés sur votre Mac au cours des 7 derniers jours (à moins que vous n'ayez modifié la limite de conservation des journaux système): 

grep mounted /var/log/system.log
zgrep mounted /var/log/system.log.*

Si vous souhaitez augmenter vos possibilités d'audit sur ce type d'événement, voici comment procéder (pour ceux qui sont à l'aise avec la conférence Unix):

  • ouvrir le newsyslog fichier de configuration: 

    /usr/bin/sudo vi /etc/newsyslog.conf

  • changez la ligne suivante: 

    /var/log/system.log                     640  7     *    @T00  J

    avec: 

    /var/log/system.log                     640  30    *    @T00  J

    (ce qui signifie garder 30 versions de mon ancien /var/log/syslog des dossiers)

  • enregistrer cette modification /etc/newsyslog.conf.

daniel Azuelos
source
0

Vous pouvez rechercher dans le sidebar.plist. 

~/Library/Preferences/com.apple.sidebarlists.plist

En ce qui concerne combien de temps cela va et quand sa ré-écrit, je ne sais pas. Je l'ai utilisé une fois pour voir si un lecteur spécifique était monté sur un système qui ne figurait pas dans le fichier system.log.

dans le Terminal.app lancez cette commande. 

defaults read ~/Library/Preferences/com.apple.sidebarlists.plist systemitems | grep "Name ="

Cela listera tous les lecteurs montés. Le dessus utilisateur Si une personne a accès à d’autres comptes, vous devrez exécuter ce qui précède pour voir son historique.

Modifier:

Pour trouver juste USB les périphériques vérifient le type d'entrée 515. 

defaults read ~/Library/Preferences/com.apple.sidebarlists.plist systemitems | grep -A 1 "EntryType = 515;"

Pour Firewire ce serait 517: 

defaults read ~/Library/Preferences/com.apple.sidebarlists.plist systemitems | grep -A 1 "EntryType = 517;"
tron_jones
source
Vous pouvez le limiter au type d'entrée, je pense que 515 est une clé USB.
tron_jones
Merci les gars. J'ai essayé d'exécuter la commande Terminal ci-dessus et elle a des résultats, mais pas celui que je recherche. S'il y avait un moyen de le réduire par FireWire, je pense que je pourrais avoir une réponse, est-ce que quelqu'un sait comment je pourrais le faire?
KMJO
Je vais éditer ci-dessus pour grep pour USB ou Firewire. Avez-vous vérifié le fichier console.app? Ce serait l'information la plus fiable.
tron_jones
Merci pour ça. Je l'ai couru mais ça ne semble pas remonter assez loin. Pouvez-vous recommander le meilleur moyen de rechercher la console? Je recherche la première semaine de novembre, il y a 30 à 40 jours. Je sais ce que le lecteur a été (soi-disant) appelé si cela aide?
KMJO
Je ne pense pas que vous trouverez quoi que ce soit dans les journaux système de console.app datant de 30 à 40 jours. Vous pouvez ouvrir console.app et vérifier les fichiers system.log sous / var / log / et taper "monté" dans le champ de recherche en haut à droite.
tron_jones
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.