OS X上的USB设备删除日志

我们最近从我们的工作室偷了一个USB软件加密狗，里面装有非常昂贵的软件。如果我们可以计算出过去3周内的日期/时间，我们可以确定是谁做的。 OS X是否删除了USB设备的日志，如果是，我们如何访问它们？

这可能会有所帮助，但您必须使用终端。 我们将在系统日志文件中查找正确的日期。在我们找到第一个匹配后，我们继续调查它具有的USB标识符号。

首先是聚光灯或Applications / Utilities / Terminal.app的开放式终端

切换到日志目录：

$ cd /var/log

在设备被盗之前的日期之后检查当前日志文件。

$ head system.log

如果不是日期或时间正确，请继续分析旧文件。  第一个命令为您提供以“system”名称开头的日志文件数。  在您发现有多少文件后，您必须像以前一样做。  使用其他命令检查日期是否正确。

$ ls -a system*
$ bzcat system.log.xx.bz2 | head

找到正确的日志文件后继续检查时间。

好的，现在您找到了正确日期的正确文件。让我们尝试找到正确的标识号。

$ bzcat system.log.xx.bz2 | grep USBMSC

像这样的输出应该很容易理解。

Jun 23 10:59:09 kernel[0]: USBMSC Identifier (non-unique): XXXXXXXXXXXXXXXXXXXXXX

如果您认为自己找到了USB标识符，请确保在确定是谁之前控制它是否正确。

使用与以前相同的命令，并尝试通过此命令在较新的日志文件中查找相同的标识符

$ bzcat system.log.xx.bz2 | grep XXXXXXX ( the usb identifier number ) 

如果您多次使用USB设备，则应该无法找到任何结果，但可能在旧文件中找不到。