[发明专利]一种在Linux系统下审计USB设备历史使用情况的方法

说明书

本发明涉及一种在Linux系统下审计USB设备历史使用情况的方法，包括如下步骤：S1：编写udev规则，udev通过定义udev规则产生匹配设备属性的设备文件；S2：udev加载所编写的udev规则；S3：udev收到内核事件，并匹配对应的udev规则；S4：udev执行udev规则，匹配USB事件，根据事件动作判断所述USB事件是插入事件还是拔出事件，并获取设备的相关信息；S5：根据所获取的设备信息进行字段处理；S6：将所获取的信息与USB时间的发生时间一起记录至本地日志中。本发明提供的在Linux系统下审计USB设备历史使用情况的方法，能够审计在Linux系统下所有usb设备的插入/拔出事件，包括usb存贮设备、usb打印机以及usb扫描仪等。

技术领域

本发明涉及计算机审计技术领域，具体涉及一种在Linux系统下审计USB设备历史使用情况的方法。

背景技术

如今，在linux系统中，对于USB设备的插入拔出事件，系统自身是不带有审计功能的，这使得普通用户无法得知当前的系统被哪些USB设备访问过，如果用户想查看USB的历史使用情况，便无从下手。

发明内容

为解决现有技术的不足，使Linux系统的使用者也能方便地了解USB设备的历史使用情况，本发明提供了一种在Linux系统下审计USB设备历史使用情况的方法，包括如下步骤：

S1：编写udev规则，udev通过定义udev规则产生匹配设备属性的设备文件；

S2：udev加载所编写的udev规则；

S3：udev收到内核事件，并匹配对应的udev规则；

S4：udev执行udev规则，匹配USB事件，根据事件动作判断所述USB事件是插入事件还是拔出事件，并获取设备的相关信息；

S5：根据所获取的设备信息进行字段处理；

S6：将所获取的信息与USB时间的发生时间一起记录至本地日志中。

其中，所述步骤S1中，所述设备属性包括内核设备名称、总线路径、厂商名称、型号、序列号及磁盘大小。

其中，所述步骤S1中，所产生的设备文件放入/etc/udev/rules.d/目录下。

其中，所述步骤S2中，可通过如下命令加载udev规则：udevadm control--reload或者重启udev服务。

其中，所述步骤S4中，所获取的设备的相关信息包括设备product ID、Vendor ID、设备序列号、设备厂商及设备Interface。

其中，所述步骤S5还包括：根据Interface来判定USB设备类型。

其中，在判断USB设备类型时，存贮类设备对应0x08，而hub对应0x09。

本发明提供的在Linux系统下审计USB设备历史使用情况的方法，能够审计在Linux系统下所有usb设备的插入/拔出事件，包括usb存贮设备、usb打印机以及usb扫描仪等。

附图说明

图1为本发明的在Linux系统下审计USB设备历史使用情况的方法的操作流程图。

具体实施方式

为了对本发明的技术方案及有益效果有更进一步的了解，下面配合附图详细说明本发明的技术方案及其产生的有益效果。

图1为本发明的在Linux系统下审计USB设备历史使用情况的方法的操作流程图，如图所示，本发明提供的在Linux系统下审计USB设备历史使用情况的方法，包括如下步骤：