Posted:
Июн 2, 2023
Comments:
0 Comments

Лог журнал это: Что такое лог-файл и зачем он нужен?

Что такое логи, как посмотреть логи сервера, где хранятся log-файлы и как их проверить

Специалистам больше не приходится записывать файлы и анализировать их вручную, ведь у них есть логи сервера.

Давайте начнём с того, что такое логи, как их посмотреть и почему так важно их использовать.

Что такое логи

Ваши системы и приложения, включая серверы, автоматически генерируют журналы при возникновении событий. Например, программное обеспечение для резервного копирования создает журналы, которые дают вам представление о всём происходящем процессе.

Серверы постоянно создают определённые файлы, которые представляют собой необработанные данные о соответствующей активности сервера – например, благодаря им можно проверить веб-сервер и узнать о трафике сайта. Файлы журналов сервера также могут предоставить системным администраторам детали и понимание, необходимые для эффективного устранения неполадок.

Логи сервера или журнал сервера – это текстовые файлы, которые автоматически создаются и хранятся на жёстком диске веб-сервера в хронологическом порядке. В них содержится информация о пользователях и их активности на платформе, а также о работе сервера.

Каждый раз, когда любой браузер или пользовательский агент, включая Google, запрашивает какой-либо ресурс с вашего сервера – страницы, изображения, файл javascript, что угодно, – эта информация записывается в log file – логи сервера.

В них включается информация о запросе, включая IP-адрес клиента, дату и время запроса, запрошенную страницу, код HTTP и так далее. Эти данные можно объединить в один файл или разделить на отдельные логи, такие как access_log или error_log.

Как правило, эти файлы недоступны для обычных пользователей интернета, только для разработчика или других администраторов.

Существует множество различных типов логов, но основные это:

Системные логи представляют собой журнал событий, происходящих в операционной системе: уведомления о запуске, обновление системы, неожиданные завершения работы, сбои и предупреждения и прочее.

Логи авторизации и доступа содержат список пользователей или ботов, которые обращались к определённым программам или файлам.

Серверные логи отслеживают действия на сервере в течение некоторого периода времени.

Логи безопасности отслеживают события, непосредственно связанные с безопасностью вашего устройства.

Зачем нужны логи

Логи сервера важны, поскольку в них хранится ценная информация, благодаря которой можно:

  • найти бреши в системе безопасности;

  • оперативно выявить ошибки, сбои и вредоносное ПО;

  • проанализировать трафик веб-сайта.

Что хранится в логах

В журнале веб-сервера чаще всего встречаются следующие значения:

  • трафик и количество уникальных пользователей;

  • продолжительность посещения и последние посещения;

  • наиболее загруженные активностью дни недели и часы;

  • домены посетителей хоста;

  • список хостов;

  • авторизованные пользователи и их последние посещения;

  • количество просмотров веб-страниц;

  • самые просматриваемые страницы;

  • типы файлов;

  • ОС пользователя;

  • браузер пользователя;

  • поисковые системы, ключевые слова, используемые для поиска анализируемого веб-сайта.

Как читать логи

Так как существуют разные типы логов, они могут читаться абсолютно по-разному. Мы рассмотрим как интерпретировать логи доступа (access_log) на следующем примере:

11.222.333.44 — — [1/Dec/2021:11:01:28 –0600] «GET /blog/page-address.htm HTTP/1.1» 200 182 «-» «Mozilla/5.0 Chrome/60.0.3112.113»

Итак:

11.222.333.44 – IP-адрес, с которого был сделан запрос;

[1/Dec/2021:11:01:28 –0600] – дата и время запроса, а также часовой пояс;

GET – тип запроса,

/blog/page-address.htm – объект запроса;

HTTP/1.1 – протокол, по которому прошёл запрос;

200 – код ответа сервера;

182 – количество байт полученных посетителем;

Mozilla/5.0 Chrome/60.0.3112.113 – данные о посетителе.

Как проверить логи сервера

Просто открыть файл логов сервера, как правило, несложно. Хотя в некоторых случаях доступ к журналам сервера может быть ограничен в целях безопасности, и его придётся запросить у веб-разработчиков.

Однако давайте предположим, что у вас всё-таки есть доступ к ним. В таком случае встаёт вопрос: где хранятся логи сервера, и как их открыть?

Чтобы посмотреть содержимое логов, нужно открыть папку логов и скачать нужный файл на свой ПК. Это можно сделать с помощью различных сервисов: Plesk, ISPmanager и cPanel.

Plesk

  1. В первую очередь откройте панель управления хостингом.

  2. В меню слева выберите вкладку Файлы.

  3. Найдите папку logs и откройте её.

  4. Скачайте нужные вам файлы, выделив их и нажав Скачать.

cPanel

  1. Откройте панель управления хостингом.

  2. Раскройте меню Файлы и выберите опцию Менеджер файлов.

  3. Найдите папку с названием «logs».

  1. Скачайте нужные вам файлы. Для этого выделите их и нажмите Скачать.

ISPmanager

  1. Откройте панель управления хостингом.

  2. В левой панели выберите Менеджер файлов.

  3. Перейдите в logs.

  1. Скачайте необходимые файлы.

Все эти файлы можно открыть вручную с помощью программ, которые уже есть в вашей системе:

  • Многие файлы логов записываются в виде обычного текста, что означает, что вы можете использовать любой текстовый редактор (Блокнот, Microsoft Office или TextEdit) для открытия и просмотра файла логов сервера.

  • Кроме того, можно воспользоваться браузером и открыть файл логов сервера в формате HTML.

  • Другой вариант открытия логов в операционной системе Windows – через Event Viewer, служебную программу с большей функциональностью, чем указанные выше варианты.

Заключение

Использование логов сервера даёт множество преимуществ. Они помогают обнаруживать вредоносное ПО, различные ошибки, повысить уровень безопасности сервера и даже проанализировать весь трафик сервера.

Если вам нужно доказать кому-то их необходимость, попробуйте рассказать о том, что узнали в этой статье: о ценности логов, какую информацию они содержат и в каких случаях к ним обращаются. Мы уверены, что уже этого будет достаточно, чтобы донести до человека важность этих файлов.

  

Туториал: как проверить логи сервера

Журнал событий (Event Log) · Loginom Wiki

Синонимы: Лог событий, Процессный лог, Журнал цифровых следов

Журнал событий — это перечень упорядоченных во времени событий (действий, статусов), выполняемых в рамках реализации некоего бизнес-процесса.

Примеры источников журналов событий:

  • Информационные системы;
  • Сетевое оборудование;
  • Трекинг посетителей сайтов;
  • Устройства интернета вещей;
  • Мониторинг действий сотрудников на своих АРМ.

Данные из журналов событий являются источником информации для анализа по технологии Process Mining. События могут храниться в таблицах баз данных, журналах регистрации сообщений, архивах электронных писем, журналах транзакций. Типичными форматами для хранения логов событий являются формат CSV или Excel (для небольших логов), а также XES (eXtensible Event Stream) и MXML (Mining eXtensible Markup Language).

Для Process Mining большое значение имеет качество логов событий, так как результат анализа напрямую зависит от входных данных.

Существует несколько критериев оценки качества данных о событиях:

  • События должны быть достоверными, то есть нужно быть уверенными, что записанные события действительно случились и что атрибуты событий являются верными;
  • Лог событий должен быть завершенным, то есть предоставлять полную картину действий;
  • У любых записываемых событий должна быть четко определенная семантика, то есть разнотипные события должны различаться.

Журналы событий можно рассматривать как совокупности экземпляров процессов, которые в свою очередь являются последовательностью событий в рамках выполнения одного экземпляра процесса.

Обязательные поля журнала событий:

  1. Process_ID — определяет экземпляр процесса, т.е. перечень событий, объединенных одной меткой ID экземпляра процесса.
  2. Event — упорядоченный перечень событий, выполняемых в рамках экземпляров процесса. В рамках лога «Event» является неделимой сущностью. События также часто называют шагом процесса. Есть логи, в которых события заменены статусом, то есть результатом выполнения события. Например: товар принят, документы оформлены и прочее.
  3. Timestamp — момент начала совершения события.

Фрагмент журнала событий с базовыми полями

Process_IDEventTimestamp
1Приемка ж/д терминал03. 06.2021 13:59
1Оформление приходных документов03.06.2021 14:05
1Оформление документов контрагентов03.06.2021 14:26
1Ввод данных контрагента03.06.2021 14:35
1Оформление приходных документов04.06.2021 09:47
1Заменить04.06.2021 14:05
1Оформление приходных документов04.06.2021 14:05
1Заменить05.06.2021 08:28
1Определение локации05.06.2021 08:28
1Вызов погрузчика05.06.2021 08:29
1Размещение груза05.06.2021 13:40
1Груз размещен05.06.2021 13:41
2Приемка ж/д терминал04.06.2021 02:28
2Оформление приходных документов04. 06.2021 03:54
2Груз размещен04.06.2021 05:09
3Приемка04.06.2021 03:02
3Ввод данных контрагента04.06.2021 04:45

Лог также должен соответствовать критериям качества. Некоторые из них:

  • Лог должен быть отсортирован. Как правило, лог сортируется сначала по Process_ID, затем по Timestamp.
  • Не должно быть пропусков указанных ключевых полей. Иначе потребуется или перевыгрузка, или удаление всего Process_ID с пропусками.
  • Если один Process_ID содержит только одно событие, это служит «желтым» сигналом: необходимо перепроверить качество логирования.

Каждое событие имеет один или несколько атрибутов. Расширенный лог может содержать формально не ограниченный перечень дополнительных полей — атрибутов. Из значимых полей в логе могут быть:

  • Timestamp Fin — момент завершения события
  • User — пользователь, совершивший действие
  • Feature — продукт, канал коммуникации, город и прочее

По журналам событий можно построить граф процесса и провести аналитику по процессу, сравнить процесс AS IS с проектом этого процесса и т. д.

Что такое журнал (файл журнала)?

К

  • Айви Вигмор

Журнал в вычислительном контексте представляет собой автоматически создаваемую документацию с отметками времени о событиях, относящихся к конкретной системе. Практически все программные приложения и системы создают файлы журналов.

Несколько распространенных примеров журналов: 

На веб-сервере в журнале доступа перечислены все отдельные файлы, запрошенные пользователями с веб-сайта. Эти файлы будут включать файлы HTML и встроенные в них графические изображения, а также любые другие связанные файлы, которые будут переданы. Из файлов журнала сервера администратор может определить количество посетителей, домены, с которых они посещают, количество запросов для каждой страницы и шаблоны использования в зависимости от таких переменных, как время дня, недели, месяца или года.

В Microsoft Exchange журнал транзакций записывает все изменения, внесенные в базу данных Exchange. Информация, которую нужно добавить в базу данных почтовых ящиков, сначала записывается в журнал транзакций Exchange. После этого содержимое журнала транзакций записывается в базу данных Exchange Server.

Журнал аудита (также известный как журнал аудита) записывает хронологическую документацию любых действий, которые могли повлиять на конкретную операцию или событие. Подробности обычно включают в себя ресурсы, к которым осуществлялся доступ, адреса назначения и источника, отметку времени и информацию для входа в систему для человека, который получил доступ к ресурсам.

Последнее обновление: ноябрь 2014 г.


Продолжить чтение О журнале (файл журнала)

  • Как файлы журналов используются для наблюдения за рабочим местом
  • Журналы брандмауэра и системы: использование анализа файла журнала для защиты
  • Простые приемы Active Directory: журналы событий
  • Как анализировать файлы журнала SMTP сервера Exchange в Microsoft Excel
  • Средства анализа журналов пополняют арсенал управления центром обработки данных
разговорный AI

Разговорный ИИ — это тип искусственного интеллекта, который позволяет компьютерам понимать, обрабатывать и генерировать человеческий язык.

Сеть


  • граница службы безопасного доступа (SASE)

    Пограничный сервис безопасного доступа, также известный как SASE и произносится как «дерзкий», представляет собой модель облачной архитектуры, объединяющую сеть и …


  • Протокол конфигурации сети (NETCONF)

    Протокол конфигурации сети (NETCONF) — это протокол сетевого управления инженерной группы Интернета (IETF), который …


  • геоблокировка

    Геоблокировка — это блокировка чего-либо на основе его местоположения.

Безопасность


  • черный список приложений (занесение приложений в черный список)

    Занесение приложений в черный список — все чаще называемое занесением в черный список приложений — представляет собой практику сетевого или компьютерного администрирования, используемую …


  • идентификация на основе утверждений

    Идентификация на основе утверждений — это средство аутентификации конечного пользователя, приложения или устройства в другой системе способом, который абстрагирует . ..


  • Сертифицированный специалист по облачной безопасности (CCSP)

    Certified Cloud Security Professional (CCSP) — это международный консорциум по сертификации безопасности информационных систем, или (ISC)2,…

ИТ-директор


  • Общепринятые принципы ведения учета (Принципы)

    Общепринятые принципы ведения документации — это основа для управления записями таким образом, чтобы поддерживать …

    организации.


  • система управления обучением (LMS)

    Система управления обучением представляет собой программное приложение или веб-технологию, используемую для планирования, реализации и оценки конкретных …


  • Информационный век

    Информационная эпоха — это идея о том, что доступ к информации и контроль над ней являются определяющими характеристиками нынешней эпохи …

HRSoftware


  • аутсорсинг процесса подбора персонала (RPO)

    Аутсорсинг процесса найма (RPO) — это когда работодатель передает ответственность за поиск потенциальных кандидатов на работу . ..


  • специалист по кадрам (HR)

    Специалист по персоналу — это специалист по кадрам, который выполняет повседневные обязанности по управлению талантами, сотрудникам …


  • жизненный цикл сотрудника

    Жизненный цикл сотрудника — это модель человеческих ресурсов, которая определяет различные этапы, через которые работник проходит в …

Служба поддержки клиентов


  • входящий маркетинг

    Входящий маркетинг — это стратегия, направленная на привлечение клиентов или лидов с помощью созданного компанией интернет-контента, тем самым …


  • маркетинг на основе учетных записей (ABM)

    Маркетинг на основе учетных записей (ABM) — это стратегия B2B, которая концентрирует ресурсы продаж и маркетинга на целевом …


  • речевая аналитика

    Речевая аналитика — это процесс анализа голосовых записей или звонков клиентов в реальном времени в контакт-центры с распознаванием речи . ..

Руководство для администраторов Apple

Как ИТ-администратору, вам почти наверняка приходилось проверять какие-либо журналы при расследовании проблемы. Журналы рассказывают историю того, что происходит в системе, поэтому они могут быть чрезвычайно полезны как при устранении неполадок, так и при изучении того, почему система ведет себя так, а не иначе.

В этом руководстве мы рассмотрим некоторые основы единой системы журналов Apple, рассмотрим, как читать журналы с помощью команды log , и предоставим несколько практических примеров того, как фильтровать сообщения журнала, чтобы найти те, которые самое главное для вас.

Что такое единое ведение журнала?

Когда единое ведение журнала впервые было представлено на WWDC 2016, это было довольно радикальное и смелое изменение. До этого большинство — если не все — журналы на платформах Apple записывались с использованием стандартных систем журналирования Unix, обычно записываемых в плоские файлы на диске.

Но по мере того, как платформы Apple с годами становились все более и более сложными, увеличивался и объем генерируемых ими журналов. Когда Apple представила унифицированное ведение журналов, она назвала его «ведением журналов будущего». Он намеревался создать общую систему ведения журналов для всех своих платформ со следующими целями:

  • Обеспечить единый эффективный механизм ведения журнала как для режима пользователя, так и для режима ядра.
  • Максимальный сбор информации с минимальным эффектом наблюдателя. (Другими словами, собирайте как можно больше данных, как можно меньше снижая производительность. Среди прочего, это означало сжатие данных журнала и предоставление надежных способов управления жизненными циклами сообщений журнала.)
  • Старайтесь как можно чаще заходить в систему.
  • Встроить конфиденциальность в систему.

Многие администраторы все еще могут думать о поиске сообщений журнала в обычных плоских файлах Unix в /var/log/ . И правда, там до сих пор пишутся какие-то плоские лог-файлы; например, /var/log/install.log содержит полезную информацию о процессе установки macOS и легко анализируется с помощью инструментов командной строки.

Но такие плоские лог-файлы часто не дают полной картины, а сообщения, логируемые в них, обычно также записываются в единую систему логирования. Для полной картины того, что происходит в системе, вы должны использовать 9Команда 0158 log для просмотра единого журнала.

(Хотя мы не будем подробно рассматривать это в этом руководстве, стоит упомянуть, что консольное приложение (в папке /Applications/Utilities) также может быть полезно для изучения журналов, если вы предпочитаете графический интерфейс; однако журнал Команда гораздо более гибкая и полезная на практике.Apple Configurator 2 из Mac App Store также полезен для потоковой передачи системного журнала подключенного устройства iOS в режиме реального времени, что может быть полезно для устранения неполадок, возникающих на iOS. Xcode также может быть используется для этой цели.)

Журнал Команда

Команда log встроена в macOS по адресу /usr/bin/log . Для получения полной информации о том, как его использовать, введите man log в терминале, чтобы прочитать справочную страницу для команды. (Нажмите q , чтобы выйти.) В этом разделе мы рассмотрим основы, чтобы вы могли начать работу.

Предположим, вы хотите просмотреть все журналы «по умолчанию» в вашей системе за последнюю минуту (за исключением дополнительных информационных сообщений или сообщений уровня отладки). Для этого вы можете запустить команду:

 sudo log show --последний 1 м

Вы, вероятно, будете удивлены огромным количеством сообщений, которые появляются на вашем экране только в последнюю минуту. Это связано с заявленной целью Apple вести как можно больше журналов как можно больше времени. Как мы вскоре объясним, вы можете фильтровать сообщения, а пока давайте рассмотрим некоторые общие параметры команды log .

В приведенном выше примере мы использовали log show . Что это делает, просто: это просто показывает журналы в системе. Мы ограничили список по времени, используя
--последний 1 м  (где м означает «минута»). Вы можете передать различные модификаторы времени в параметр --last : например, --last 1h (последний час) или --last 1d (последний день). С параметрами --start и --end плюс определенные метки времени в форматах ГГГГ-ММ-ДД , ГГГГ-ММ-ДД ЧЧ:ММ:СС или ГГГГ-ММ-ДД ЧЧ :MM:SSZZZZZ — вы можете очень узко фильтровать список сообщений по метке времени.

Команда log show показывает журналы Mac, на котором вы ее запускаете. Вы также можете комбинировать show с параметром --archive для передачи пути к архиву системного журнала, созданному с помощью команды log collect . Параметр collect удобен для сбора журналов из любой системы — вашей или другой — для последующего анализа; их можно хранить, перемещать и анализировать в любой момент времени.

Системный диагноз , который запускается автоматически, когда вы отправляете отзыв в Apple, даже автоматически создает архив системного журнала для инженеров Apple для анализа (с именем system_logs.logarchive в корне папки sysdiagnose ). Вы можете просмотреть более подробную информацию о параметре collect на справочной странице для log .

Чтобы увидеть, как эти строительные блоки могут сочетаться друг с другом, рассмотрите этот пример для сбора всех журналов уровня по умолчанию в вашей системе за последние 20 минут:

 сбор журнала sudo --output ~/Desktop/SystemLogs.logarchive --last 20m

Это поместит файл архива журнала на ваш рабочий стол с именем SystemLogs.logarchive . Чтобы просмотреть журналы из архива, вы можете запустить:

 sudo log show --archive ~/Desktop/SystemLogs. logarchive

В то время как log show полезен для ретроспективного просмотра, log stream отображает журналы в режиме реального времени. Это может быть полезно для наблюдения за журналами во время возникновения проблемы или когда вы выполняете действие в системе, и вы просто хотите посмотреть и узнать, что происходит.

Например, чтобы просмотреть все журналы по умолчанию в вашей системе по мере их появления, используйте команду:

 поток журнала sudo

(Чтобы завершить поток, нажмите Ctrl+C .) Потоковая передача всех журналов в режиме реального времени на практике не очень полезна из-за огромного объема генерируемых сообщений. Сокращение журналов либо при просмотре назад во времени с помощью журнала показывает (включая архивы), либо в режиме реального времени с использованием потока журнала , можно выполнить с помощью фильтрации предикатов.

Фильтрация предикатов

Цель Apple, заключающаяся в том, чтобы как можно больше времени входить в систему, отлично подходит для администраторов, потому что большее количество журналов часто означает больше информации, которую можно использовать для решения проблем или обучения. Но это также может затруднить поиск сигнала среди всего шума. Именно здесь фильтрация предикатов становится чрезвычайно полезной.

У Apple есть полное руководство по фильтрации предикатов на своем веб-сайте, и эта тема освещена на справочной странице для 9Команда 0158 log также. Но вот пример, который поможет вам начать:

.

 поток журнала sudo --debug --predicate 'subsystem=="com.apple.sharing" и category=="AirDrop"'

Во-первых, обратите внимание, что мы передаем журналы в потоковом режиме ( log stream ) и что мы также передали параметр --debug , чтобы включить в вывод более подробные журналы отладки.

Далее обратите внимание на параметр --predicate . Это сообщает команде журнала, что мы хотим фильтровать сообщения журнала; то, что мы включаем между следующим набором одинарных кавычек, становится фильтром. В этом примере мы ищем журналы, сгенерированные com.apple.sharing , которые также соответствуют категории AirDrop . Этот относительно короткий фильтр предикатов отлично подходит для просмотра журналов AirDrop.

Apple определяет подсистемы как «основную функциональную область» приложения или, в данном случае, операционной системы. Категория определяется как нечто, что «разделяет определенные области внутри подсистемы». Когда вы только начинаете фильтровать журналы, может быть сложно понять, какие критерии указать в фильтре предикатов. Например, как мы узнали, что AirDrop использует именно эту подсистему и категорию?

Поставщики программного обеспечения могут помочь; они могут предоставить вам соответствующие фильтры для поиска журналов, созданных их продуктом (ами). Например, агент Канджи в macOS создает свои журналы с подсистемой io.kandji.KandjiAgent и различными категориями.

Еще один способ определить общие подсистемы и категории — просто посмотреть на выходные данные log stream и log show . Рассмотрим такую ​​запись в журнале:

.

 mdmclient: [com.apple.ManagedClient:OSUpdate] Сопоставленный статус SU: [фаза: загрузка; прогресс: 0] в MDM: [ProductKey: MSU_UPDATE_21E258_patch_12.3.1; Статус: Загрузка; Загружено: 0; DownloadPercentComplete: 0]

В данном случае com.apple.ManagedClient — это подсистема, OSUpdate — категория, а mdmclient — процесс. (Фильтрация по процессам — еще один полезный параметр фильтрации предикатов.) 

Фактическое сообщение журнала ( eventMessage ) тоже очень полезно. На основе приведенного выше примера, если вы хотите отфильтровать только журналы, которые поступили из процесса mdmclient , были зарегистрированы с com.apple.ManagedClient .подсистема с категорией OSUpdate и содержала в сообщениях строку MSU_UPDATE_21E258_patch_12.3.1 , можно было использовать следующий фильтр:

 process=="mdmclient" and subsystem=="com.apple.ManagedClient" and category=="OSUpdate" и eventMessage содержат "MSU_UPDATE_21E258_patch_12. 3.1"

Использование этого предиката приведет к выводу журналов, показывающих состояние обновления программного обеспечения для macOS 12.3.1, инициированного решением MDM. Обратите внимание, что мы использовали содержит ; другие варианты сравнения строк включают: начинается с , заканчивается , соответствует , среди прочего. Сравнение строк с фильтрами предикатов по умолчанию чувствительно к регистру и ударению (диакритическому знаку).

Ниже перечислены несколько полезных процессов, подсистем и категорий для администраторов Apple. Это ни в коем случае не исчерпывающий список; обратите также внимание, что Apple может по своему усмотрению изменить их в любое время.

Подсистема

Процесс

9Подсистема 0367: com.apple.xprotect

Описание Параметры фильтра
AirDrop подсистема: com.apple.sharing
категория: AirDrop
Служба push-уведомлений Apple (APN) процесс: apsd
подсистема: com. apple.apsd
Разблокировка Apple Watch подсистема: com.apple.sharing
категория: AutoUnlock
Кэширование контента: com.apple.AssetCache
Привратник процесс: syspolicyd
подсистема: com.apple.syspolicy.exec
Установщик macOS и обновление программного обеспечения: softwareupdated
подсистем: com.apple.mac.install , com.apple.SoftwareUpdate , com.apple.SoftwareUpdateMacController , com.apple .mobileassetd
МДМ процесс: mdmclient
подсистема: com.apple.ManagedClient
Мобильная активация (блокировка активации, регистрация DEP и т. д.) процесс: mobileactivationd
подсистема: com. apple.MobileActivation
Сеть подсистема: com.apple.network
категории: соединение,
OCSP (действительность сертификата) подсистема: com.apple.securityd
категория: ocsp
Открытый каталог процесс: opendirectoryd
подсистемы: com.apple.opendirectoryd , com.apple.AccountPolicy
Логин пользователя процесс: loginwindow
подсистема: com.apple.login
XProtect

 

Частные данные

При просмотре журналов вы можете увидеть записи, содержащие строку , иногда сопровождаемую уникальным идентификатором (или UUID). Когда вы видите это, что-то в системе пыталось зарегистрировать данные, которые потенциально могут идентифицировать пользователя, сеть или другую часть динамической информации, которая каким-то образом может считаться конфиденциальной. По умолчанию эти типы записей маскируются единой системой ведения журналов; это связано с целью Apple сделать конфиденциальность основным элементом унифицированного ведения журнала.

Возьмите этот пример из Open Directory. Этот журнал указывает на успешное событие аутентификации, например, на успешную разблокировку панели настроек в Системных настройках:

 opendirectoryd: (PlistFile) [com.apple.opendirectoryd:auth] Аутентификация прошла успешно для  (1B0820C7-05D9-4DEA-BF67-370FAB16E41C): ODNoError

По умолчанию имя пользователя маскируется как . Однако иногда при устранении неполадок может быть полезно раскрыть данные, обычно помеченные как частные. Вы можете сделать это с помощью профиля конфигурации, который может быть предоставлен решением MDM, либо для определенных подсистем, либо для системы в целом. (См. примеры профиля Enable_Private_Data в репозитории поддержки Kandji на GitHub.)

Вот та же запись в журнале, но с включенным ведением журнала частных данных для подсистемы com. apple.opendirectoryd с использованием профиля частных данных Open Directory:

 opendirectoryd: (PlistFile) [com.apple.opendirectoryd:auth] Аутентификация для ladmin выполнена успешно (1B0820C7-05D9-4DEA-BF67-370FAB16E41C): ODNoError

Обратите внимание, что на этот раз имя пользователя ladmin  было зарегистрировано.

Мы рекомендуем включать частную регистрацию данных только для определенных подсистем и только в случае крайней необходимости. Чтобы снова скрыть личные данные, просто удалите профиль конфигурации.

Благодаря команде log и фильтрации предикатов возможности просмотра, потоковой передачи, сбора и фильтрации журналов для поиска необходимой информации огромны.

Приведенные выше команды — это только начало того, что может сделать команда log, чтобы рассказать историю того, что происходит в системе. Потратив некоторое время на просмотр и просмотр журналов, вы сможете начать выявлять общие «ритмы» или шаблоны, которые затем облегчат обнаружение аномалий.

This entry was posted in Популярное