Wo finde ich VNC-Zugriffsprotokolle mit IP-Adressen in Sierra?

9

Ich suche nach Protokollierungsversuchen von jemandem, der an einem früheren Tag auf einen meiner Macs zugegriffen hat. Ich habe eine Remoteverwaltung ausgeführt und erlaube den VNC-Zugriff. In den Protokollen, die ich gefunden habe, sehe ich die Versuche, die sie unternommen haben, aber es ist keine IP-Adresse protokolliert. Wo kann ich das sehen?

Ein Beispiel für ein Konsolenprotokoll ist "system.log.0" (am letzten Tag gesichert). Ich habe Tonnen dieser Protokollereignisse, als jemand verbunden war:

(com.apple.screensharing [2323232]): Der Endpunkt wurde über ältere Start-APIs (3) aktiviert

Es gibt keine anderen protokollierten Informationen.

Außerdem habe ich keine "Secure.log" -Datei.

Ich möchte nur wissen, welche IPs in einem bestimmten Zeitraum mit meinem Mac verbunden waren. Gibt es ein anderes Protokoll oder eine andere Informationsquelle in macOS Sierra, die ich dafür ernten könnte?

Magnus Lind Oxlund
quelle
Ich bin mir nicht sicher, ob Sie Lösungen gefunden haben, aber ich habe begonnen, diese Datei zu durchsuchen. Mac4n6.com/blog/2016/11/13/… hatte jedoch keine Zeit, herauszufinden, wie VNC protokolliert / überwacht werden kann Verbindungen
Gi0rgi0s

Antworten:

5

Beginnend mit macOS Sierra gibt es ein neues einheitliches Protokollierungssystem, dessen Zugriff etwas mehr Arbeit erfordert als das alte system.log, das jedoch weitaus mehr Details enthält.

Verwenden Sie diesen Befehl, um die letzten drei Tage der Zugriffsprotokolle anzuzeigen: log show --last 3d --predicate 'processImagePath CONTAINS "screensharingd" AND eventMessage CONTAINS "Authentication"'

Hier werden Zeitstempel, IP-Adresse, Benutzername und Authentifizierungsfehler / -erfolg für VNC- und Apple Screen Sharing-Verbindungen angezeigt.

Elliott
quelle
Das ist großartig ... danke, dass du den Befehl geteilt hast. Wie können wir es dauerhaft machen und es in der Konsole protokollieren lassen? Gibt es ein anderes Protokoll, das dies verwaltet und das ich nicht sehen kann?
Was meinst du mit hartnäckig? Die Konsolen-App ist in Sierra nahezu nutzlos. Um in Echtzeit anzuzeigen, können Sie log streamstattdessen verwenden.
Elliott
Weitere Informationen zu Console: eclecticlight.co/2016/09/23/…
Elliott
Ich meine, wir sehen ein hinterfülltes Protokoll, das die Konsole führt. Ich möchte Protokolldatensätze in der Konsole sehen
1
@ Kevin Mir ist keine Möglichkeit bekannt, Einträge zu entfernen. Die Dateien sind im Tracev3-komprimierten Binärformat, /var/db/diagnosticssodass Sie das Ganze löschen können.
Elliott