Trochę nagłego wypadku, więc każda pomoc jest naprawdę doceniana.
Próbuję ustalić, czy istnieje sposób, aby zobaczyć szczegóły (w szczególności nazwy) dysków zewnętrznych, które zostały podłączone do mojego komputera w ciągu ostatnich 6 tygodni. Zasadniczo dysk twardy z poufnymi informacjami zaginął i chciałbym sprawdzić, czy kiedykolwiek był podłączony do mojego komputera, czy ktoś wie, jak i gdzie mogę znaleźć te informacje?
Odpowiedzi:
Następujące polecenia pokażą wszystkie dyski zewnętrzne, które zostały zamontowane na komputerze Mac w ciągu ostatnich 7 dni (chyba że zmodyfikowano limit ochrony dzienników systemowych):
grep mounted /var/log/system.log
zgrep mounted /var/log/system.log.*
otworzyć newsyslog plik konfiguracyjny:
/usr/bin/sudo vi /etc/newsyslog.conf
zmień następującą linię:
/var/log/system.log 640 7 * @T00 J
z:
/var/log/system.log 640 30 * @T00 J
(co oznacza utrzymanie 30 wersji mojego starego /var/log/syslog pliki)
zapisz to zmodyfikowane /etc/newsyslog.conf.
Możesz przeszukiwać sidebar.plist.
~/Library/Preferences/com.apple.sidebarlists.plist
Co do tego, jak daleko to się posunęło, i kiedy nie napisałem ponownie. Użyłem go raz, aby sprawdzić, czy konkretny dysk został podłączony do systemu, który nie pojawił się w systemie.log.
w Terminal.app uruchom to polecenie.
defaults read ~/Library/Preferences/com.apple.sidebarlists.plist systemitems | grep "Name ="
Spowoduje to wyświetlenie wszystkich zamontowanych dysków. Powyżej użytkownik konkretna plist, jeśli osoba miała dostęp do innych kont, musielibyśmy uruchomić powyższe, aby zobaczyć także ich historię konną.
Edytować:
Aby znaleźć tylko USB kontrola urządzeń pod kątem wpisu typu 515.
defaults read ~/Library/Preferences/com.apple.sidebarlists.plist systemitems | grep -A 1 "EntryType = 515;"
Dla Firewire byłoby 517:
defaults read ~/Library/Preferences/com.apple.sidebarlists.plist systemitems | grep -A 1 "EntryType = 517;"