OSX High Sierra weckt Grund für Syslog-Standort?

2028
cc970

Ich verwende OSX 10.13.3. Ich verstehe, dass ich, wenn ich den folgenden Befehl in Terminal ausführte, den Aktivierungsgrund für meine Maschine erhalten wird.

log show --style syslog | fgrep "Wake-Grund"

Wenn ich den obigen Befehl im Terminal ausführte, werden mir Informationen zum 17.02.18 gegeben. Ich habe alle Daten in meinen Protokolldateien gelöscht, einschließlich: private / var / log; Benutzer / Bibliothek / Protokolle; Macintosh HD / Library / Logs - daher wird von keinem dieser Speicherorte gezogen. Ich hätte gedacht, der Wake-Grund wäre in der Datei system.log enthalten. Dies ist jedoch eindeutig nicht der Fall, da der obige Befehl auch nach dem Löschen dieser Datei und dem Neustart weiterhin Informationen enthält, die vor 3 Wochen zurückliegen, und die Datei system.log enthält nur Daten aus dem Zeitpunkt, zu dem die Datei neu erstellt wurde.

Kann jemand bitte erklären, wo diese Informationen abgerufen werden? Gibt es eine spezifische Protokolldatei mit diesen Informationen? Oder ist sie irgendwo in einer ASL-Datenbankdatei begraben?

Vielen Dank.

2

1 Antwort auf die Frage

1
cc970

Update / Antwort: Syslog-Dateien sind jetzt Teil von Unified Logging und werden hier gespeichert:

/ var / db / diagnostics /

/ var / db / uuidtext /

Verweise hier für weitere Informationen:

https://eclecticlight.co/2017/09/23/sierras-unified-log-evolves-mehr-persistent-and-a-valuable-log-log/

https://www.mac4n6.com/blog/2016/11/13/new-macos-sierra-1012-forensic-artifacts-einführungs-unified-logging

https://developer.apple.com/documentation/os/logging?language=occ

Verwenden Sie das Terminal und den Befehl "log collect", um Datensätze zu sammeln und auf die Festplatte zu exportieren. Verwenden Sie "Log Show" zur Überprüfung. Muss im Terminal als root angemeldet sein.

Beispiel:

log collect --start "2018-03-05" --output /Users/username/desktop/mylogs.logarchive

log show /Users/username/desktop/mylogs.logarchive

Verwenden Sie Datumsbefehle, um die Wake-Grund-Suche einzugrenzen:

log show --style syslog --start "2018-03-07" | fgrep "Wake-Grund"

Verwandte Probleme