苹果Mac OS X系统安全评级(2)

OS X系统的所有日志都使用自己特有的格式保存，不会在系统的log文件中出现。它的trails文件保存在/var/audit/目录中，这个目录只有系统管理员，也就是root参能访问，所以下面的命令最好在root用户下运行，否则会遇到permission denied错误。

在上面的audit_control文件中定义过，每个trails文件的最大大小，一旦一个trail文件达到这个限制，系统就会写入另外一个trail文件，然而系统也会根据时间长短自动切换到下一个文件，这也是为什么你可能看到好多文件的大小只有几K或几十K。

trails文件的命名方式是该文件的最初起始时间和最后一个trails的终止时间作为文件名，比如20130112143036.20130114164647，分割为：2013 01 12 14 30 36，也就是起始于2013年1月12日14点30分36秒，终止于2013年1月14日16点46分47秒。其中还会夹杂有*.crash_recovery的文件, 如果OpenBSM系统崩溃，就会产生这个文件；而*.not_terminated的事当前还在使用的trails文件。

日志文件的大小取决于在audit_control中设置的监视类型，如果设置为all,那么会产生巨量的trials，这样你的硬盘会很快占满(如果expire-after设置的足够大)，而且由于占用系统资源过多，可能影响其他程序的运行。

praudit命令:

praudit命令可以解析指定的trail文件的内容，并以文本方式输出。基本的命令格式是：

praudit -s /var/audit/*：输出简短格式
praudit -x /var/audit/ ：输出XML格式

下面是一个使用简单格式输出的一部分的例子：

sudo audit -tsudo launchctl unload -w /System/Library/Launchdaemons/com.apple.auditd.plistsudo rm /var/audit/*