Из предыдущего респондента, который удалил свой комментарий, могло показаться, что это связано с тем, что журналы до сегодняшнего дня были сжаты .gz. В самом деле? Нет ли единой онлайн-возможности увидеть все логины в истории экземпляра OS X?
Каковы результаты syslog -k Sender login ?
fd0
Я удалил ответ, который был неправильным. В соответствии с man wtmp в macOS 10.12.1 «Эти файлы больше не существуют в 10.5 или более поздней версии. /var/run/utmp, /var/log/wtmp, /var/log/lastlog ».
Christopher
1
Результат системного журнала подтверждает то, что говорит Кристофер: NOTE: Most system logs have moved to a new logging system. See log(1) for more information.
Ответы:
2
last работает в Сьерре, как и во всех старых системах OS X, оборудованных ASL.
Вот пример Сьерра ВМ ( первый свет: установлено: 20 сентября 2016 г.):
user ttys001 Fri Dec 9 02:31 still logged in
user ttys000 Fri Dec 9 02:30 still logged in
user console Fri Dec 9 02:30 still logged in
...
reboot ~ Wed Sep 21 00:01
user console Tue Sep 20 22:18 - crash (01:42)
reboot ~ Tue Sep 20 22:18
user ttys000 Tue Sep 20 22:08 - crash (00:09)
_mbsetupuser console Tue Sep 20 22:01 - crash (00:17)
user console Tue Sep 20 22:00 - crash (00:17)
reboot ~ Tue Sep 20 21:59
Вы можете проверить любое неправильное поведение последней / ASL с помощью Terminal.app:
Откройте новую оболочку и введите sudo opensnoop -n last, затем откройте вкладку с ⌘ T и введите last,
На первой вкладке вы должны получить что-то вроде:
UID PID COMM FD PATH
501 7281 last 3 /dev/dtracehelper
501 7281 last 3 /var/log/asl
501 7281 last 4 /var/log/asl/2016.12.04.G80.asl
501 7281 last -1 /var/log/asl/2016.12.04.U0.asl
501 7281 last 5 /var/log/asl/2016.12.04.U501.asl
501 7281 last 6 /var/log/asl/2016.12.05.G80.asl
501 7281 last -1 /var/log/asl/2016.12.05.U0.asl
501 7281 last 7 /var/log/asl/2016.12.05.U501.asl
501 7281 last 8 /var/log/asl/2016.12.06.G80.asl
501 7281 last -1 /var/log/asl/2016.12.06.U0.asl
501 7281 last 9 /var/log/asl/2016.12.06.U501.asl
501 7281 last 10 /var/log/asl/2016.12.08.G80.asl
501 7281 last -1 /var/log/asl/2016.12.08.U0.asl
501 7281 last 11 /var/log/asl/2016.12.08.U501.asl
501 7281 last 12 /var/log/asl/2016.12.09.G80.asl
501 7281 last -1 /var/log/asl/2016.12.09.U0.asl
501 7281 last 13 /var/log/asl/2016.12.09.U501.asl
501 7281 last 14 /var/log/asl/BB.2017.09.30.G80.asl
501 7281 last 15 /var/log/asl/BB.2017.10.30.G80.asl
501 7281 last 16 /var/log/asl/BB.2017.11.30.G80.asl
501 7281 last 17 /var/log/asl/BB.2017.12.31.G80.asl
501 7281 last 18 /var/log/asl/Logs
501 7281 last 18 /var/log/asl/StoreData
501 7281 last 3 /etc/localtime
501 7281 last 3 /usr/share/zoneinfo/UTC
который показывает все файлы, открытые / прочитанные прошлой , Выйдите из opensnoop, введя: ^ С ,
Если вы не получаете аналогичный вывод, проверьте вашу подсистему ASL (например, asl.conf или демоны запуска com.apple.syslogd / com.apple.aslmanager) / папку / var / log / asl и исправьте все, если необходимо.
Результаты из opensnoop 10.12.1: dtrace: system integrity protection is on, some features will not be available и 33 из них: dtrace: error on enabled probe ID 5 (ID 188: syscall::open:return): invalid user access in action #11 at DIF offset 24, 33 соответствует файлам, показанным в ответе. Почему это сообщение? Результаты из last: хорошие входы в систему с сентября 2016 года. Почему не с сентября 2015 года, когда я впервые вошел в систему (обновления)? Как мы находим плохие логины?
Christopher
@Christopher Я отключил SIP, чтобы получить результат opensnoop. В моей физической установке Mavericks я получаю только логины и т. Д. За последний ~ один год (02 декабря 2015 г. - 09 декабря 2016 г.), хотя я ничего не переустанавливал / удалял с января 14 года. Вы должны конвертировать ваши вопросы с комментариями в один или несколько реальных вопросов ASE здесь ... ;-)
syslog -k Sender login?man wtmpв macOS 10.12.1 «Эти файлы больше не существуют в 10.5 или более поздней версии./var/run/utmp,/var/log/wtmp,/var/log/lastlog».NOTE: Most system logs have moved to a new logging system. See log(1) for more information.Ответы:
lastработает в Сьерре, как и во всех старых системах OS X, оборудованных ASL.Вот пример Сьерра ВМ (
первый свет:установлено: 20 сентября 2016 г.):Вы можете проверить любое неправильное поведение последней / ASL с помощью Terminal.app:
Откройте новую оболочку и введите
sudo opensnoop -n last, затем откройте вкладку с ⌘ T и введитеlast,На первой вкладке вы должны получить что-то вроде:
который показывает все файлы, открытые / прочитанные прошлой , Выйдите из opensnoop, введя: ^ С ,
Если вы не получаете аналогичный вывод, проверьте вашу подсистему ASL (например, asl.conf или демоны запуска com.apple.syslogd / com.apple.aslmanager) / папку / var / log / asl и исправьте все, если необходимо.
источник
opensnoop10.12.1:dtrace: system integrity protection is on, some features will not be availableи 33 из них:dtrace: error on enabled probe ID 5 (ID 188: syscall::open:return): invalid user access in action #11 at DIF offset 24, 33 соответствует файлам, показанным в ответе. Почему это сообщение? Результаты изlast: хорошие входы в систему с сентября 2016 года. Почему не с сентября 2015 года, когда я впервые вошел в систему (обновления)? Как мы находим плохие логины?_mbsetupuserувидеть этот вопрос ,