macOS 的統一記錄系統提供了一個在 Mac 上儲存記錄檔資料的中心位置。「主控台和終端機應用程式」允許使用者在電腦上檢視、串流和篩選此資料,以便手動排解錯誤或偵測威脅。
您必須建立基於述詞的篩選條件來收集與您組織需求相關的記錄檔。下列步驟示範了如何使用主控台,幫助您識別可新增到述詞篩選條件的條件。
Warning:不要建立收集Jamf Protect活動的統一記錄檔篩選條件。這會產生無限記錄迴圈,可能導致意外行為。
- 開啟 Console (主控台) 應用程式。
- 在搜尋欄位中,輸入與您要檢視的記錄檔相關的關鍵字。
Example:若要查看與登入事件相關的所有記錄檔,請輸入 loginwindow。
- 分析結果,並繼續優化您的搜尋條件,直到主控台僅顯示與您的需求相關的記錄檔。
Example:要將條件縮小到僅限使用者登入而非螢幕解除鎖定,請輸入 com.apple.sessionDidLogin 並從篩選條件下拉式清單中選擇 。
- 建立基於述詞的篩選條件,其中包含步驟 3 的條件。
此值將用於在 Jamf Protect 中配置統一記錄檔篩選條件。
Example:用於在步驟 3 中篩選使用者登入的搜尋條件,在述詞語法中如下所示:
processImagePath contains "loginwindow" and eventMessage contains "com.apple.sessionDidLogin
有關可在基於述詞的篩選條件中使用的支援金鑰的完整清單,請執行下列命令: log help predicates
- (Optional) 確認篩選條件是正確的。
- 使用終端機執行記錄檔命令來使用述詞。
Example:log show --predicate 'processImagePath contains "loginwindow" and eventMessage contains "com.apple.sessionDidLogin"'
- 在您的電腦上完成一項任務,該任務將產生符合篩選條件的記錄檔。
- 確認該任務在終端機工作階段中產生新的記錄檔項目。
您現在擁有了基於述詞的篩選條件,可用於在 Jamf Protect 中配置統一記錄檔篩選條件。