Går det att få ut användardata/historik från hårddiskar och USB-stickor?

Alltså, det är frågan om det loggas på det viset du verkar vara intresserad av.

Ett filsystem innehåller i storleksordningen tusentals, hundratusentals filer. Datorn anropar filer i en strid ström när du använder systemet, skulle allt loggas löpande så borde loggfilerna bli enorma på ganska kort tid ?

Det vore intressant o veta vad du är ute efter egentligen..

Jag tror att du fråga efter något som är omöjligt att spåra i efterhand efter en viss tid/antal event, om det inte är speciellt uppsatt logg för att spåra detta specifika aktivitet i förväg...

Visst - det loggas en del i dom flesta OS (som tex. dmesg i linux som definitivt skulle catcha en i och uttag av USB och även logga denna USB vid varje start när den satt i datorn) men det mesta i loggväg är då av FIFO-modell - dvs. man sparar 1000-2000 senaste antal event och de äldsta eventen i bufferten knuffas ut i glömskan i en FIFO-minnesstruktur allt eftersom nya event fyller på.

Detta gör man för att inte få översvämning av växande loggfiler och i värsta fall slut på diskplats på systemdisken. I Linux görs denna rensning för dom delarna som inte enbart lagras i RAM-minnet med ett cron-job som delar och rensar log-filer med jämna mellanrum och i Windows gör man det med största säkerhet samma sak.

Varför rensar man kontinuerligt? - Om det är en findetaljerad log av alla aktiviteter som görs på datorn så skulle man ha hundra och tusentals events i sekunden så fort någon rör musen/tangentbordet/vid nätverksaktivitet (en DDos attack skulle snabbt fylla hela disken om allt som hände på nätverkskortet loggades på disk) och kanske 10-tal event i sekunden vid 'idle' när ingen rör dator.