OS X是下了基本安全模块BSM。审计系统的作用是跟踪用户和进程的操作。类似于Windows系统里面的日志功能。
出于安全性考虑,审计系统必须在内核层次执行,在OS X中,审计是通过Mach实现的。
默认情况下,审计日志存放在/var/audit目录下。命名方式是start_time.stop_time。其中的start_time是起始时间戳,精度为秒。最后一个日志文件的stop_time是not_terminated。
在terminal输入以下命令可以看到/var/aduit目录的基本信息:
ls -ld /var/audit运行结果如下:
drwx------ 564 root wheel 19176 Apr 18 16:11 /var/audit如果想要查看audit文件夹内所有文件,需要执行以下命令:
sudo ls -l /var/audit不加sudo的话可能无权访问。输入密码后即可查看到所有文件。
审计日志以二进制的格式保存,可以通过praudit命令解码。默认输出格式为CSV还可以通过-x参数输出为更美观的XML格式。示例代码如下:
sudo praudit /var/audit/20150418081102.not_terminated -x便可以得到很多块这样的文档。
trailer,102
header,57,11,audit startup,0,Sat Apr 18 16:11:02 2015, + 739 msec
text,launchd::Audit startup
return,success,0由于日志循环的太频繁,所以有一个特殊的字节设备/dev/auditpipe方便用户实时访问审计记录。如:
sudo praudit /dev/auditpipe原文:http://blog.csdn.net/abc649395594/article/details/45136333