コラム:ターミナルコマンド eslogger
概要
- EndpointSecurity Framework API を実装せず、簡単にEndpointSeurityイベントの確認が可能。
- 端末に不審な操作ログがないか、ユーザが確認するのを目的として追加。
- 調査向けに使用できそうなコマンド。
- フォーマットはJSON。
- JSONの各項目について、正式ドキュメントは確認できてない(推測できる項目は多い)。
- イベントだけ取得したい、とかなら EndpointSecurity を実装しなくても低コストで実現可能。
- あくまでLoggerであり、イベントを禁止するようなことはできない。
| esloggerコマンド例 | 概要 |
% eslogger --list-events |
・取得できるイベントリストを確認する |
|
・sshログインした際のイベントが確認できる ・Ventura以降、EndpointSecurity Framework APIに追加されたイベントでもある |
% eslogger openssh_logout |
・sshログインした際のイベントが確認できる ・Ventura以降、EndpointSecurity Framework APIに追加されたイベントでもある |
% eslogger rename |
Finder上でデスクトップ上のファイル、フォルダをリネームした際のイベントが確認できる |
% eslogger create |
Finder上で新規フォルダ、ファイルを作成した際のイベントが確認できる |
% eslogger unlink |
Finder上でデスクトップ上のファイルの物理削除(opt + cmd + del)した際のイベントが確認できる(cmd + del はゴミ箱へ移動のイベントになる) |
% eslogger lw_session_lock lw_session_unlock |
画面ロック、ロック解除した際のイベントが確認できる |
% eslogger copyfile |
Finder上でファイルコピーした際のイベントが確認できる |
% eslogger mount unmount |
Finder上でファイルサーバにマウント、アンマウントした際のイベントが確認できる |