Tengo un iMac con OS X 10.7 que se encuentra en un espacio público. Recientemente, alguien robó un Ratón Poderoso que estaba conectado a él. Sé el período de tiempo en que sucedió, así que me preguntaba si puedo averiguar qué tipo de actividad estaba ocurriendo en ese momento. Por ejemplo, qué usuarios estaban iniciando sesión, qué aplicaciones estaban ejecutando y cuándo fue la última vez que se conectó este mouse USB. Ya revisé los registros del sistema y del núcleo y proporcionan solo un poco de información útil. ¿Cuáles son las mejores prácticas para auditar el uso de Mac?
¡Gracias!
Respuestas:
Si no instaló la contabilidad del sistema en esta Mac, no hay forma de recuperar los procesos en el momento de este mal evento.
Puede encontrar cuándo se conectó este mouse por última vez buscando en
/var/log/kernel.log. En versiones más recientes de OSX (Yosemite, El Capitan, Sierra)/var/log/kernel.logse fusiona/var/log/system.log. Dentro determinaloxtermsimplemente escriba:o en versiones más recientes de OSX:
Si necesita buscar más, simplemente use las versiones anteriores comprimidas y guardadas con:
o en versiones más recientes de OSX:
Para verificar quién estaba conectado en su sistema, simplemente use el
lastcomando.Si desea tener una función de auditoría básica en su sistema, puede comenzar fácilmente encendiendo la contabilidad del sistema. Aquí está cómo encenderlo. Todos estos comandos deben escribirse con la
rootcuenta. (Tenga cuidado con cualquier letra escrita, incluso un espacio cuenta).Puede verificar inmediatamente que a partir de ahora y para siempre, el núcleo está registrando cualquier programa iniciado:
Como un simple ejemplo de uso, el siguiente comando le mostrará qué comandos se usaron desde el inicio de la contabilidad del núcleo:
fuente