本發明涉及一種在Linux系統下審計USB設備歷史使用情況的方法，包括如下步驟：S1：編寫udev規則，udev通過定義udev規則產生匹配設備屬性的設備文件；S2：udev加載所編寫的udev規則；S3：udev收到內核事件，并匹配對應的udev規則；S4：udev執行udev規則，匹配USB事件，根據事件動作判斷所述USB事件是插入事件還是拔出事件，并獲取設備的相關信息；S5：根據所獲取的設備信息進行字段處理；S6：將所獲取的信息與USB時間的發生時間一起記錄至本地日志中。本發明提供的在Linux系統下審計USB設備歷史使用情況的方法，能夠審計在Linux系統下所有usb設備的插入/拔出事件，包括usb存貯設備、usb打印機以及usb掃描儀等。

技術領域

本發明涉及計算機審計技術領域，具體涉及一種在Linux系統下審計USB設備歷史使用情況的方法。

背景技術

如今，在linux系統中，對于USB設備的插入拔出事件，系統自身是不帶有審計功能的，這使得普通用戶無法得知當前的系統被哪些USB設備訪問過，如果用戶想查看USB的歷史使用情況，便無從下手。

發明內容

為解決現有技術的不足，使Linux系統的使用者也能方便地了解USB設備的歷史使用情況，本發明提供了一種在Linux系統下審計USB設備歷史使用情況的方法，包括如下步驟：

S1：編寫udev規則，udev通過定義udev規則產生匹配設備屬性的設備文件；

S2：udev加載所編寫的udev規則；

S3：udev收到內核事件，并匹配對應的udev規則；

S4：udev執行udev規則，匹配USB事件，根據事件動作判斷所述USB事件是插入事件還是拔出事件，并獲取設備的相關信息；

S5：根據所獲取的設備信息進行字段處理；

S6：將所獲取的信息與USB時間的發生時間一起記錄至本地日志中。

其中，所述步驟S1中，所述設備屬性包括內核設備名稱、總線路徑、廠商名稱、型號、序列號及磁盤大小。

其中，所述步驟S1中，所產生的設備文件放入/etc/udev/rules.d/目錄下。

其中，所述步驟S2中，可通過如下命令加載udev規則：udevadm control--reload或者重啟udev服務。

其中，所述步驟S4中，所獲取的設備的相關信息包括設備product ID、Vendor ID、設備序列號、設備廠商及設備Interface。

其中，所述步驟S5還包括：根據Interface來判定USB設備類型。

其中，在判斷USB設備類型時，存貯類設備對應0x08，而hub對應0x09。

本發明提供的在Linux系統下審計USB設備歷史使用情況的方法，能夠審計在Linux系統下所有usb設備的插入/拔出事件，包括usb存貯設備、usb打印機以及usb掃描儀等。

附圖說明

圖1為本發明的在Linux系統下審計USB設備歷史使用情況的方法的操作流程圖。

具體實施方式

為了對本發明的技術方案及有益效果有更進一步的了解，下面配合附圖詳細說明本發明的技術方案及其產生的有益效果。

圖1為本發明的在Linux系統下審計USB設備歷史使用情況的方法的操作流程圖，如圖所示，本發明提供的在Linux系統下審計USB設備歷史使用情況的方法，包括如下步驟：