# usbsearch

`usbsearch` — bash-скрипт для **поиска и анализа событий подключения USB-устройств** в системе Linux.
Работает **универсально**: автоматически определяет, используется ли `systemd (journalctl)` или классические лог-файлы `/var/log`.

Проект полезен для:

* forensic / incident response
* аудита подключаемых USB-устройств
* серверов и рабочих станций
* систем без GUI

---

## Использование

### Дать права на исполнение

```bash
sudo chmod +x usbsearch.sh
```

### Запуск от root (рекомендуется)

```bash
sudo ./usbsearch.sh
```

---

## Как это работает

1. Скрипт проверяет:

   * доступен ли `journalctl`
   * есть ли доступ к журналу systemd
2. Если **systemd доступен**:

   * используется `journalctl -k`
3. Если **systemd недоступен**:

   * анализируются файлы `/var/log/kern.log*`
4. Из логов извлекаются события:

   * `New USB device found`
   * `Product`
   * `Manufacturer`
   * `SerialNumber`
   * `USB Mass Storage`

---

## Пример вывода

```
-----------------------------------------------------------
Дата: Sep 12 14:33:21 | VID:0781 PID:5567
Дата: Sep 12 14:33:21 | Manufacturer: SanDisk
Дата: Sep 12 14:33:21 | Product: Cruzer Blade
Дата: Sep 12 14:33:21 | SerialNumber: 4C530001230915117293
Дата: Sep 12 14:33:22 | USB Mass Storage device
```