コラム@パッション

コラム:ターミナルコマンド eslogger

概要

  • EndpointSecurity Framework API を実装せず、簡単にEndpointSeurityイベントの確認が可能。
  • 端末に不審な操作ログがないか、ユーザが確認するのを目的として追加。
  • 調査向けに使用できそうなコマンド。
  • フォーマットはJSON。
  • JSONの各項目について、正式ドキュメントは確認できてない(推測できる項目は多い)。
  • イベントだけ取得したい、とかなら EndpointSecurity を実装しなくても低コストで実現可能。
  • あくまでLoggerであり、イベントを禁止するようなことはできない。
esloggerコマンド例 概要
% eslogger --list-events ・取得できるイベントリストを確認する
% eslogger openssh_login ・sshログインした際のイベントが確認できる
・Ventura以降、EndpointSecurity Framework APIに追加されたイベントでもある
% eslogger openssh_logout ・sshログインした際のイベントが確認できる
・Ventura以降、EndpointSecurity Framework APIに追加されたイベントでもある
% eslogger rename Finder上でデスクトップ上のファイル、フォルダをリネームした際のイベントが確認できる
% eslogger create Finder上で新規フォルダ、ファイルを作成した際のイベントが確認できる
% eslogger unlink Finder上でデスクトップ上のファイルの物理削除(opt + cmd + del)した際のイベントが確認できる(cmd + del はゴミ箱へ移動のイベントになる)
% eslogger lw_session_lock lw_session_unlock 画面ロック、ロック解除した際のイベントが確認できる
% eslogger copyfile Finder上でファイルコピーした際のイベントが確認できる
% eslogger mount unmount Finder上でファイルサーバにマウント、アンマウントした際のイベントが確認できる
TOP