Estuve lejos de mi MacBook Air (Yosemite) brevemente y sospeché que alguien había copiado archivos de mi Mac. Esto es lo que puedo ver desde system.log en la consola / var / log. ¿Podrían algunos expertos recomendar si este registro "(no único): 000000000820" puede indicar que alguien enchufó una unidad USB? ¿Qué necesito buscar para averiguar qué directorio de archivos posiblemente fueron robados?
Este es el comando para generar una lista de todos los archivos a los que se ha accedido en las últimas 72 horas:
sudo find / -atime -72h -ls > output.txt
Desde allí, puede ejecutar 'stat' en cada archivo para obtener el tiempo de acceso.
cat output.txt | while read in; do stat; done > accessTimes.txt
Puede limitar su búsqueda a un rango de fecha / hora específico a través de un editor de texto o comando grep.
grep "Mar 31 21:" accessTimes.txt
Puede que esto no sea suficiente para probar cualquier infracción, pero puede refutarla si no se accedió a los archivos durante la ventana de preocupación. Además, da una idea de lo que posiblemente se accedió.
De ese registro, todo lo que puedes decir es que un dispositivo USB se conectó o desconectó. Podría ser una unidad USB, pero, de nuevo, esa unidad podría estar durmiendo. Alguien podría haber enchufado un iPhone para cargarlo. El punto es que es imposible saberlo.
Incluso si se conectó una unidad USB, no hay forma de saber si los archivos se copiaron desde su máquina. Para ver si los archivos, de hecho, se copiaron desde (o hacia) su máquina, necesita un registro de auditoría . Apple viene con uno pero está deshabilitado por defecto.
Consulte esta publicación en OpenBSM .