Controllo attività e hardware

2

Ho un iMac con OS X 10.7 che si trova in uno spazio pubblico. Recentemente, qualcuno ha rubato un Mighty Mouse che era collegato ad esso. Conosco il periodo di tempo in cui è accaduto, quindi mi chiedevo se riuscissi a scoprire che tipo di attività stava accadendo in quel periodo. Ad esempio, quali utenti stavano effettuando l'accesso, quali app erano in esecuzione e quando è stata l'ultima volta in cui è stato collegato questo mouse USB. Ho già controllato i log di sistema e del kernel e forniscono solo alcune informazioni utili. Quali sono le migliori pratiche di auditing sull'utilizzo del Mac?

Grazie!

    
posta Serg 22.01.2013 - 02:08
fonte

1 risposta

2

Se non hai installato account di sistema su questo Mac, non c'è alcun modo per farti ripristinare i processi al momento di questo brutto evento.

Puoi trovare quando questo mouse è stato collegato per l'ultima volta cercando in /var/log/kernel.log . Nelle versioni più recenti di OSX (Yosemite, El Capitan, Sierra) /var/log/kernel.log viene unito in /var/log/system.log . All'interno di terminal o xterm scrivi semplicemente:

grep -i usb /var/log/kernel.log

o su versioni più recenti di OSX:

grep -i usb /var/log/system.log

Se hai bisogno di cercare di nuovo, usa solo le versioni precedenti compresse e salvate con:

bzgrep -i usb /var/log/kernel.log.[3210].bz2

o su versioni più recenti di OSX:

zgrep -i usb /var/log/system.log.[3210].gz

Per controllare chi era connesso sul tuo sistema, usa il comando last .

Se si desidera disporre di una funzione di controllo di base sul sistema, è possibile iniziare semplicemente accendendo l'account di sistema. Ecco come accenderlo. Tutti questi comandi devono essere digitati con l'account root . (Fai attenzione a qualsiasi lettera scritta, anche uno spazio conta).

/usr/bin/sudo -s
[...]
mkdir /var/account
touch /var/account/acct
accton /var/account/acct
exit

Puoi controllare immediatamente che da ora in avanti e per sempre il kernel sta registrando qualsiasi programma lanciato:

lastcomm

Come semplice esempio di utilizzo, il seguente comando ti mostrerà quali comandi sono stati utilizzati dall'avvio della contabilità del kernel:

lastcomm root
    
risposta data 31.01.2013 - 23:19
fonte

Leggi altre domande sui tag