С момента своего пару дней, сделал поиск в "все сообщения". Все предыдущее завершение работы причиной было 0 или 3. Сделал обновление вопрос. @EnricoSusatyo моя новая установка пакета программ ILIFE '09, обновлена через магазин приложений, а также - хотя я установил его с помощью CD, который я купил. Эталоном обычно только определить, насколько быстро/медленно работает ваш компьютер по сравнению с другими спецификациями, не (справка) определить, что на самом деле происходит. Когда все это смущало - это обычно проблема с базой данных квитанций. Вы можете клонировать диск с помощью дисковой утилиты, сделать машину времени резервного копирования и стереть диск и установить 10.7.2 аккуратно и используйте миграцию, чтобы получить данные обратно.

Вы не можете, задним числом.

Однако, вы можете включить эту функцию для проверки будущих событий.

Важное примечание: этот ответ, чтобы показать, что данный вид аудита может быть сделано и никоим образом не является руководством или инструкцией по настройке и администрированию OpenBSM* на macOS. Настройка и управление OpenBSM значительно выходит за рамки ответа здесь задавать разные.


По умолчанию, инструмент аудита OpenBSM имеет значение только для событий проверки подлинности входа и выхода.

Глядя на конфиг файл в/etc/безопасности/аудита/audit_control мы видим следующее:

#
# $Р4: //депо/проекты/в рамках trustedbsd/openbsm/и т. д./audit_control#8 $
#
дир: в/var/аудит
флаги:Ло,АА <----------- что подлежит аудиту.
минимальной свободной:5
naflags:Ло,АА
политика:УНТ,агду
filesz:2М
истекает-после:10М
суперпользователь-набор-sflags-маска:has_authenticated,has_console_access
суперпользователь-понятно-sflags-маска:has_authenticated,has_console_access
член-набор-sflags-маска:
член-понятно-sflags-маска:has_authenticated

Существует ряд конфигурационных директив, которые могут быть найдены на FreeBSD в БСМ аудит конфигурации раздел с FreeBSD руководство.

Кроме того, OpenBSM не настроен для каждого пользователя. Глядя на файл/etc/безопасности/файле audit_user мы находим только корень настроен:

#
# $Р4: //депо/проекты/в рамках trustedbsd/openbsm в/etc/файле audit_user#3 $
#
корень:Ло:нет

Для того чтобы увидеть если мы можем проверить, когда считывается файл, изменить audit_control так что имеет значение флаги:Ло,АА,фр для "входа/выхода", "аутентификация и авторизация", и "чтение файла"

Затем добавить пользователей для аудита в файле audit_user файл с событиями, которые мы хотим видеть (логин и чтение файла):

Алан:Ло:Фра

Перезапустить службу:

судо аудит-я

На один сеанс терминала, просмотреть аудита журналов в режиме реального времени создается, выполним команду

praudit -л /Дев/auditpipe | грэп тест 

чтобы увидеть, если он будет генерировать событие, когда я читаю из файла "тест".

На отдельном окне терминала:

$ тест сенсорный #создает файл
тест $ Кот #читает файл

Обратно на первое окно терминала мы получаем ответ:

судо praudit -л /Дев/auditpipe | грэп тест
Пароль:
заголовок,140,11,открыть(2) - читать,0,Вт ноября 7 19:44:45 2017, + 678 msec,argument,2,0x0,flags,path,test,path,/Users/allan/test,attribute,100644,allan,staff,16777218,724870,0,subject,allan,allan,staff,allan,staff,1277,100007,50331650,0.0.0.0,return,success,3,trailer,140,

Есть запись в журнале.

Очевидно, что смотреть "трубы" было бы контрпродуктивным и годится только для тестов и демонстраций (как в этом примере). Лог-файлы хранятся в каталоге/var/аудит каталог, и вы можете просматривать их с praudit команду

судо praudit -л /ВАР/аудит/ХХХХХХХХХХХХХБЫЛ.ХХХХХХХХХХХХХХ

* OpenBSM является открытым исходным кодом реализации солнечных базовый модуль безопасности (БСМ) аудит API и формат файлов. OpenBSM является производным от БСМ осуществления проверки установлено, в Apple с открытым исходным кодом Дарвин операционная система, которая по запросу, Яблоко relicensed под лицензией BSD для интеграции во FreeBSD и других систем. Реализация Дарвин БСМ был создан компанией McAfee исследования в рамках контракта с Apple, и с тех пор активно продлен команда волонтеров в рамках trustedbsd. OpenBSM включен в FreeBSD начиная с версии 6.2 и выше, и был объявлен как функция Мак ОС Х Снежный Барс.