OSX High Sierra причина местоположения системного журнала пробуждения?

1928
cc970

Я использую OSX 10.13.3. Я понимаю, что если я выполню следующую команду в терминале, я получу причину пробуждения для моей машины.

log show - системный журнал стиля | фгреп "Разбуди повод"

В настоящее время, когда я запускаю вышеупомянутую команду в терминале, она дает мне информацию, относящуюся к 17.02.18. Я очистил все данные в моих файлах журнала, в том числе: private / var / log; пользователя / Library / Logs; Macintosh HD / Библиотека / Журналы - поэтому он не тянет ни из одного из этих мест. Я бы подумал, что причина пробуждения содержится в файле system.log. Но очевидно, что это не так, поскольку даже после удаления этого файла и перезагрузки, приведенная выше команда все еще продолжает выводить информацию, относящуюся к 3 неделям назад, а файл system.log содержит только данные с момента его повторного создания.

Может кто-нибудь объяснить, откуда взята эта информация? Есть ли определенный файл журнала с этой информацией? Или он похоронен где-то в файле базы данных ASL?

Спасибо.

2

1 ответ на вопрос

1
cc970

Обновление / ответ: файлы системного журнала теперь являются частью единой системы ведения журналов и хранятся здесь:

/ Вар / DB / диагностика /

/ Var / дб / uuidtext /

ссылка здесь для получения дополнительной информации:

https://eclecticlight.co/2017/09/23/sierras-unified-log-evolves-more-persistent-and-a-valuable-log-log/

https://www.mac4n6.com/blog/2016/11/13/new-macos-sierra-1012-forensic-artifacts-introducing-unified-logging

https://developer.apple.com/documentation/os/logging?language=occ

Используйте терминал и команду "log collect" для сбора записей и их экспорта на диск. Используйте "log show" для просмотра. Необходимо войти в систему как root в терминале.

Пример:

сбор журнала --start "2018-03-05" --output /Users/username/desktop/mylogs.logarchive

log show /Users/username/desktop/mylogs.logarchive

Наконец, чтобы сузить поиск причины пробуждения, используйте команды date:

log show - стиль системного журнала --start "2018-03-07" | фгреп "Разбуди повод"

Похожие вопросы