原文地址:support.blackbagtech.com/hc/en-us/ar…
原文作者:
发布时间:2019年12月31日
这是一篇更新的文章,来自热门的BlackBag博客文章《从镜像中访问统一的日志》。
从macOS Sierra (10.12)发布开始,Apple开始改用新的日志格式。 这些日志的想法是,它们在所有苹果操作系统(iOS、watchOS、tvOS)中基本上是相同的。
现在,大多数传统的日志文件将在新的统一日志格式内存储信息。目前,苹果已经表示,没有计划允许第三方应用的开发者向统一日志写入。许多人已经写了关于这些日志的文章,我们感谢他们对这种新的日志格式的努力和研究。
日志位置
统一日志保存在位于/private/var/db的几个文件中。
在每个文件夹中都有几个文件,这些文件将被收集并用于分析日志。
收集实时日志
在实时 Mac 电脑上访问日志。
要在实时运行的 Mac 计算机上收集统一日志,请使用终端命令:sudo log collect。 它将需要计算机的管理员密码来收集这些日志。 一旦该过程完成,将创建一个捆绑文件夹,并命名为system_logs.logarchive。
从Case IMAGE中导出日志。
从案件中导出日志文件。
使用 BlackLight 将 /private/var/db/diagnostics 和 /private/var/db/uuidtext 的内容导出到桌面上的一个文件夹。 不要包括父目录'diagnostics'或'uuidtext'。导出这些文件后,将.logarchive扩展名添加到包含导出文件和文件夹的文件夹名称中。 该文件夹将变为包含日志文件的捆绑文件夹(.logarchive)。
使用日志存档
要分析这些日志,需要一台运行相同macOS版本或更新版本的计算机。 使用 Terminal.app 输入以下命令来解析统一日志。
log show <path to archive> --info --predicate <options>
或者,您可以将Console.app指向日志存档文件夹。使用Console.app时,可能需要一两分钟(取决于存档中包含多少日志)才能完全添加日志。在Terminal.app或Console.app中,考官可以使用关键字(命令)来访问日志。
外部设备
运行macOS Sierra(10.12)和更新版本的Mac中缺少的一个工件是附加的外部设备或USB条目。以前,检查人员将从system.log中解析数据来访问这些信息,然而,这些信息现在包含在运行macOS Sierra和更新版本的系统的统一日志中。
要收集外部设备条目,可以在macOS Sierra和High Sierra上的Terminal.app中输入任一命令。
log show <path-to-log> --info --predicate ' eventMessage contains[cd] "USBMSC" or processImagePath contains[cd] "fseventsd" or subsystem = "com.apple.imageecapture"'
或
log show <path-to-log> --info --predicate ' eventMessage contains[cd] "USBMSC" or eventMessage contains[cd] "manufacturer" or eventMessage contains[cd] "/Volumes"'
对于macOS Mojave,终端命令略有不同。
log show --info <path to logs> --predicate 'eventMessage contains[cd] "USBMSC"'。
结果将显示USBMSC入口信息(就像system.log一样),以及制造商信息和卷名。
在Console.app内,考官可以输入几个关键词中的一个。
- USBMSC
- manufacturer
- /Volumes
- .fseventsd
使用关键字USBMSC查找条目。
这是可从这些日志文件中解析出的许多其他工件的一个例子,包括。
- iCloud连接的设备
- 电子邮件同步
- 网络连接
- 空投
- 时间机器备份
以及更多...
有关这方面的更多信息,请查看我们的苹果法医调查课程。
通过www.DeepL.com/Translator(免费版)翻译
