OS X系统审计子系统详解

最新推荐文章于 2023-03-17 17:30:12 发布
最新推荐文章于 2023-03-17 17:30:12 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: OS X与iOS内核 文章标签: 日志 审计 audit mac-os-x Mach
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/abc649395594/article/details/45136333
版权

OS X是下了基本安全模块BSM。审计系统的作用是跟踪用户和进程的操作。类似于Windows系统里面的日志功能。
出于安全性考虑,审计系统必须在内核层次执行,在OS X中,审计是通过Mach实现的。
默认情况下,审计日志存放在/var/audit目录下。命名方式是start_time.stop_time。其中的start_time是起始时间戳,精度为秒。最后一个日志文件的stop_time是not_terminated。
在terminal输入以下命令可以看到/var/aduit目录的基本信息:

ls -ld /var/audit

运行结果如下:

drwx------  564 root  wheel  19176 Apr 18 16:11 /var/audit

如果想要查看audit文件夹内所有文件,需要执行以下命令:

sudo ls -l /var/audit

不加sudo的话可能无权访问。输入密码后即可查看到所有文件。
审计日志以二进制的格式保存,可以通过praudit命令解码。默认输出格式为CSV还可以通过-x参数输出为更美观的XML格式。示例代码如下:

sudo praudit /var/audit/20150418081102.not_terminated -x

便可以得到很多块这样的文档。

trailer,102
header,57,11,audit startup,0,Sat Apr 18 16:11:02 2015, + 739 msec
text,launchd::Audit startup
return,success,0

由于日志循环的太频繁,所以有一个特殊的字节设备/dev/auditpipe方便用户实时访问审计记录。如:

sudo praudit /dev/auditpipe
bestswifter
关注
专栏目录
系统架构设计师-2020年真题】案例分析-答案及详解
数据知道的博客
09-11 1103
超类实体是指在数据库设计中,用于表示多个实体之间共同属性的实体。它包含了多个子类实体所共有的属性,可以帮助减少数据冗余,提高数据模型的一致性和可维护性。【参考答案】超类实体是将多个实体中相同的属性组合起来构造出的新实体。用户(姓名、电话、单位名称、详细地址)
深入了解Linux审计子系统(一)--概述
宁静致远
04-28 745
Linux平台的审计系统对于普通用户来说可能比较陌生,但对于从事信息安全或系统安全的人来说是很重要的,它就像一套监控系统一样,可以记录下操作系统的每一个过程,例如用户的操作,文件的修改,系统的启动和异常以及网络活动等,这些记录都可以让你知道系统发生过什么,可以进一步了解系统安全漏洞所在,是提高系统安全性的有效支持。 审计子系统产生的背景 在早期的Linux操作系统只有syslo...
34个ETL子系统-6:审计维度
kygoal的博客
01-13 915
34个ETL子系统-6:审计维度 前面讲的错误数据处理,和数据仓库中的业务数据是完全独立的。但现在说的审计维度却是数据仓库内部的维度表。 审计维度是一类特殊的维度表。审计维度表包含了事实表变更的元数据,事实数据的加载时间,数据质量指标。 审计维度,可以提供如下的信息: 审计信息:数据源是哪里,在什么时间加载,是用哪个过程加载,加载时所用的规则是什么。 提供数据质量的指标和统计:读取了多少
应用系统怎么开启审计功能_几条命令轻松开启macOS系统隐藏功能
weixin_39563420的博客
11-28 492
Mac 中「终端」应用,以前叫Terminal,对于小白来说非常高级,觉得只有技术流和程序员才能控制它。一个人在命令窗口敲击一行行代码,然后计算机自动为你执行相应的任务,看着都有那啥格。事实上,作为小白我们也可以用一些简单的代码让它发挥一定的作用。这篇帖子主要讲一些您也可能用到的命令行,让您轻松开启系统的隐藏功能。Launchpad 修改Launchpad 是 OSX 上用来查找和打开 App 的...
Mac 进程管理器(基于OpenBSM)
荣耀与梦想来日方长
03-17 636
使用OpenBSM库对macOS进行实时审核,使用名为auditpipe的特定设备,位于/dev/auditpipe中获取实时的审计事件,重点关注进程的创建和退出。
audit系统审计
行走的皮卡丘
10-13 3158
什么是审计审计的案例audit审计系统安装软件包,查看配置文件(确定审计日志的位置)配置审计规则查看并分析日志手动查看日志通过工具搜索日志
广工操作系统课设-多用户多级目录文件系统os.rar
最新发布
06-23
这个项目,名为"广工操作系统课设-多用户多级目录文件系统os",旨在帮助学生深入理解操作系统如何管理和组织存储资源,以支持多个用户同时访问并操作复杂的文件结构。 操作系统是计算机硬件与用户之间的一层抽象,...
电子科技大学操作系统课件
05-17
10. **操作系统的实现**:通过具体的案例分析,如Linux或Windows内核,解析操作系统的实现细节。 11. **实验与实践**:提供实际操作环境,让学生动手实践,如模拟进程调度、内存分配等,增强对理论知识的理解。 ...
Linux文件系统层次结构解析
##一、引言 ###1.1 什么是文件系统?...本文将从概述Linux文件系统的分类和特点开始,详细介绍Linux文件系统的层次结构和路径解析,并重点讲解文件系统的管理和维护技巧。最后,还会展望文件系统
计算机操作系统
12-26
10. **设备管理**:介绍直接内存访问(DMA)和中断处理,讲解I/O子系统的层次结构。 11. **安全与权限**:讨论操作系统中的安全性问题,包括访问控制、审计和防火墙技术。 12. **分布式操作系统**:探讨分布式系统的...
lynis:适用于 Linux、macOS 和基于 UNIX 的系统的安全审计工具-开源
08-08
Lynis 是一款久经考验的安全工具,适用于运行 Linux、macOS 或基于 Unix 的操作系统系统。 它对您的系统执行广泛的健康扫描,以支持系统强化和合规性测试。 该项目是具有 GPL 许可的开源软件,自 2007 年起可用。由于 Lynis 很灵活,因此可用于多种不同的目的。 Lynis 的典型用例包括安全审计、合规性测试(例如 PCI、HIPAA、SOx)、渗透测试、漏洞检测和系统强化。 测试该 Docker 映像,或改进已部署的 Web 应用程序的强化。 运行每日健康扫描以发现新的弱点。 向同事或客户展示可以采取哪些措施来提高安全性。 发现客户系统上的安全弱点,这可能最终导致系统受损。 Lynis 几乎可以在所有基于 UNIX 的系统和版本上运行。
如何使用OpenBSM对macOS进行实时审计
weixin_33724059的博客
09-13 717
本文讲的是如何使用OpenBSM对macOS进行实时审计?, 介绍 这篇文章的目的是解释使用OpenBSM库对macOS进行实时审核,以检测哪些文件是打开的。每天我们在计算机上安装一些程序或应用程序,它们基本上可以访问大多数文件。由于很多原因,实时审核可能很有用:也许您只是想知道某些应用程序打开哪些文件,或者某些恶意进程正在读取您的个人文档,或者打开您...
OS X各版本原厂系统镜像校验值索引
中国在线教育
01-22 1万+
OS X各版本原厂系统镜像校验值 索引 更新: - 2018-04-07:添加10.13.4DMG文件哈希值。 - 2018-01-24:添加10.13.3DMG文件哈希值。 - 2017-12-06:添加10.13DMG文件哈希值。 - 2017-09-26:添加10.13DMG文件哈希值。 - 2016-11-04:添加10.2.0和10.12.1两个北美的DM...
audit 审计
系统运维
12-31 512
audit子系统提供了一种纪录系统安全方面信息的方法,同时能为系统管理员在用户违反系统安全法则或存在违反的潜在可能时,提供及时的警告信息,这些audit子系统所搜集的信息包括:可被审计的事件名称,事件状态(成功或失败),别的安全相关的信息。 可被审计的事件,通常,这些事件都是定义在系统调用级别的。 脚本/APPS - 命令 - 函数(库) - System Call (系统调用) ...
Linux设备节点
热门推荐
Bestrem_9的专栏
03-19 2万+
 23, 2007linux中的设备节点(/dev/*)(转) http://www.linuxsir.org/bbs/showthread.php?t=306623设备管理是linux中比较基础的东西,但是由于Linux智能程度的越来越高,Udev的使用越来越广泛,使得越来越多的Linux新用户对 /dev 目录下的东西变得不再熟悉。有时候遇见问题就会变得抓狂本文是我在写作《DIY 一个基于
MAC OS
weixin_34331102的博客
04-20 174
OS X Yosemite Version 10.10.5 OS X   EI Capitan   在MAC 系统里,VMware虚拟机打开MAC 系统,进行OS X 升级。 AppStore里升级。
oracle数据库审计os,审计Oracle数据库的使用
weixin_42398635的博客
04-06 871
Normal07.8 磅02falsefalsefalseMicrosoftInternetExplorer4仅使用权限、角色、视图、甚至细粒度安全策略建立访问控制系统还不能保证数据库的安全。审计数据库的使用能让我们知道访问控制机制是否确实像所希望的那样工作。审计涉及监控和记录用户的数据库活动。Oracle提供了大量的审计类型的控制选择,可以再会话级或在整个数据库级进行审计。主要分为标准审计和细粒...
Linux-2.6驱动开发 附录一 设备名称
sK.坤
02-24 5545
附录一 设备名称Major    Minor   Name0     Unnamed devices (e.g. non-device mounts)          0 = reserved as null device number        See block major 144, 145, 146 for expansion areas.   1 char M
ctorrent 使用 命令行下 bt 下载工具
andywang7259的专栏
09-08 530
一、软件的下载与安装   ubuntu 下安装 sudo apt-get install ctorrent CTorrent是用C++开发的,不需要图形环境进行动行. 二、软件的使用 ctorrent XXX.torrent 执行对XXX.torrent文件的下载。文件的参数包括: h/-H:显示帮助命令 -x:只解码并显示种子文件信息,不下载。 -c:只检查已下载的...
OS/390安全子系统:RACF详解
"本文档介绍了RACF,即Resource Access Control Facility,它是OS/390(现称为z/OS)操作系统中的安全子系统,主要负责用户验证、资源授权、记录与报告以及安全管理。RACF通过用户ID和口令进行用户认证,并允许用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值