一招教你轻松追踪:Linux、Unix、Windows的USB存储设备历史插拔记录!

dmesg(display message)内核环形缓冲区

作用和原理：系统启动时，内核将硬件初始化、驱动加载、设备状态等信息存入固定大小的内存区域（环形缓冲区）。当缓冲区满时，新消息覆盖旧消息。

• 查看所有USB相关的内核消息：

dmesg | grep -i usb

dmesg | grep -i "new high-speed\|usb.*disconnect"

dmesg -T --time-format ctime | grep -i "new high-speed\|usb.*disconnect"

• 在基于 Debian/Ubuntu 的系统上：

grep -i usb /var/log/syslog

grep -i usb /var/log/kern.log

• 在基于 Red Hat/CentOS/Fedora 的系统上：

grep -i usb /var/log/messages

lsusb        #列出设备

lsusb -v     # 显示详细信息

lsusb -t     # 以树状图显示，显示物理连接关系

grep -i udisks /var/log/auth.log  

dmesg | grep-i usb

grep -i usb /var/log/messages

usbconfig list            # 列出当前所有USB设备

usbconfig dumpdevicedesc  # 显示某个设备的详细信息

1. 按 Win + R，输入 regedit 并回车。
2. 导航到以下路径：

1. 在这个键值下，你会看到所有曾经连接过的USB存储设备的列表。每个文件夹代表一个设备型号，其下的子文件夹是每个物理设备的唯一序列号。
   
   图3 windows注册表查看usb设备插拔记录

• 查询USB设备安装事件：

Get-WinEvent -FilterHashtable @{LogName='System'; ID=20001} | Where-Object {$_.Message -like "USB"}

• 使用 WMI 查询当前连接的USB设备：

Get-WmiObject -Class Win32_USBHub

Get-CimInstance -ClassName Win32_USBHub

• 在溯源查询时，请优先检查系统时间是否准确，是否有修改痕迹。
• 对于Linux/macOS，日志可能会被 logrotate清理或大小受限。
• 在Windows中，注册表信息在设备被删除后依然会保留，除非手动清理。
• 获取USB插拔记录日志通常需要管理员权限（root、sudo 或 Administrator）。

THE

安即

未来

END

关注「星标安即未来」，第一时间获取推送，以防错过优质内容。