OS X是下了基本安全模块BSM,
OSX系统审计子系统详解
。审计系统的作用是跟踪用户和进程的操作。类似于Windows系统里面的日志功能。出于安全性考虑,审计系统必须在内核层次执行,在OS X中,审计是通过Mach实现的。
默认情况下,审计日志存放在/var/audit目录下。命名方式是start_time.stop_time。其中的start_time是起始时间戳,精度为秒。最后一个日志文件的stop_time是not_terminated。
在terminal输入以下命令可以看到/var/aduit目录的基本信息:
<code class="hljs lasso">ls -ld /var/audit</code>
运行结果如下:
<code class="hljs lasso"><code class="hljs cs">drwx------ 564 root wheel 19176 Apr 18 16:11 /var/audit</code></code>
如果想要查看audit文件夹内所有文件,需要执行以下命令:
<code class="hljs lasso"><code class="hljs cs"><code class="hljs bash">sudo ls -l /var/audit</code></code></code>
不加sudo的话可能无权访问。输入密码后即可查看到所有文件。
审计日志以二进制的格式保存,可以通过praudit命令解码。默认输出格式为CSV还可以通过-x参数输出为更美观的XML格式。示例代码如下:
<code class="hljs lasso"><code class="hljs cs"><code class="hljs bash"><code class="hljs lasso">sudo praudit /var/audit/20150418081102.not_terminated -x</code></code></code></code>
便可以得到很多块这样的文档,电脑资料
《OSX系统审计子系统详解》(https://www.unjs.com)。
<code class="hljs lasso"><code class="hljs cs"><code class="hljs bash"><code class="hljs lasso"><code class="hljs css">trailer,102header,57,11,audit startup,0,Sat Apr 18 16:11:02 2015, + 739 msectext,launchd::Audit startupreturn,success,0</code></code></code></code></code>
由于日志循环的太频繁,所以有一个特殊的字节设备/dev/auditpipe方便用户实时访问审计记录。如:
<code class="hljs lasso"><code class="hljs cs"><code class="hljs bash"><code class="hljs lasso"><code class="hljs css"><code class="hljs bash">sudo praudit /dev/auditpipe</code></code></code></code></code></code>