Ero lontano dal mio MacBook Air (Yosemite) brevemente e sospettavo che qualcuno avesse copiato dei file dal mio Mac. Ecco cosa posso vedere da system.log sotto console / var / log. Alcuni esperti potrebbero consigliare se questo registro "(non univoco): 000000000820" potrebbe indicare che qualcuno ha collegato un'unità USB? Cosa devo cercare per scoprire quale directory di file è stata probabilmente rubata?
Ecco il comando per generare un elenco di tutti i file a cui hai avuto accesso nelle ultime 72 ore:
sudo find / -atime -72h -ls > output.txt
Da lì, puoi eseguire "stat" su ciascun file per ottenere il tempo di accesso.
cat output.txt | while read in; do stat; done > accessTimes.txt
È possibile restringere la ricerca a un intervallo di data / ora specifico tramite un editor di testo o il comando grep.
grep "Mar 31 21:" accessTimes.txt
Questo potrebbe non essere sufficiente per dimostrare qualsiasi errore, ma può confutarlo se non ci sono file a cui accedere durante la finestra di preoccupazione. Inoltre, dà un'idea di cosa è stato possibile accedere.
Da quel registro, tutto quello che puoi dire è che un dispositivo USB era connesso o disconnesso. Potrebbe un drive USB, ma poi di nuovo, quell'unità potrebbe andare a dormire. Qualcuno potrebbe aver collegato un iPhone per caricarlo. Il punto è che è impossibile sapere.
Anche se è stata collegata un'unità USB, non è possibile stabilire se i file sono stati copiati dal computer. Per vedere se i file sono stati, infatti, copiati dalla (o alla) macchina, è necessario un registro di controllo . Apple viene fornito con uno ma è disabilitato per impostazione predefinita.
Vedi questo post su OpenBSM .