Daniel Azuelosの素晴らしいスクリプトで始めましょう。
cd /Volumes/suspicious_USB
/usr/bin/sudo find . -atime -21 -exec ls -dluT {} \;
特定の日にUSBフラッシュドライブがコンピュータに挿入されていることを確認するにはどうすればよいですか?たとえば、5月3日ですか?ファイルが開かれたかコピーされたかを検出する方法はありますか?
LinuxとMacの端末スクリプトをお試しいただきありがとうございます!
ベストアンサー1
「USBフラッシュドライブが接続されていることを確認する」という最初の質問に関して、カーネルはUSBストレージデバイスが接続されていると報告します。
次の例では、Linuxディストリビューションが使用中であると仮定しますsystemd(他のディストリビューションでは/var/log/messages同様のファイルを作成できます)。
# journalctl --since '2018-05-19' --until '2018-05-20' | grep 'kernel: usb'
May 19 12:22:15 localhost.localdomain kernel: usb 1-1.1.1: USB disconnect, device number 7
May 19 12:22:19 localhost.localdomain kernel: usb 1-1.1.1: new high-speed USB device number 8 using ehci-pci
May 19 12:22:19 localhost.localdomain kernel: usb 1-1.1.1: New USB device found, idVendor=13fe, idProduct=1f00
May 19 12:22:19 localhost.localdomain kernel: usb 1-1.1.1: New USB device strings: Mfr=1, Product=2, SerialNumber=3
May 19 12:22:19 localhost.localdomain kernel: usb 1-1.1.1: Product: Patriot Memory
May 19 12:22:19 localhost.localdomain kernel: usb 1-1.1.1: Manufacturer:
May 19 12:22:19 localhost.localdomain kernel: usb 1-1.1.1: SerialNumber: 07870CA23F48
May 19 12:22:19 localhost.localdomain kernel: usb-storage 1-1.1.1:1.0: USB Mass Storage device detected
#