使用 OSX ASL 过滤事件

Posted 2023-02-16

【中文标题】使用 OSX ASL 过滤事件

【英文标题】：Filtering events with OSX ASL

【发布时间】：2013-09-10 23:12:49

【问题描述】：

简而言之，我希望我的所有防火墙日志都转到它们自己的文件中。

我从替换开始：

? [= Sender kernel] file /var/log/system.log mode=0600 gid=80 format=bsd

与：

? [= Sender kernel] [< Level 7] file /var/log/system.log mode=0600 gid=80 format=bsd
? [= Sender kernel] [= Level 7] file /var/log/ipfw.log

但不仅仅是 ipfw 使用设施 7 记录，所以我尝试了：

? [= Sender kernel] [S= Message ipfw] file /var/log/ipfw.log

这行得通，但消息仍会发送到 system.log。并添加：

? [= Sender kernel] [S= Message ip6fw] file /var/log/ipfw.log

根本没用。

如何从 ipfw / ip6fw 获取所有日志，而不是其他任何内容，发送到 ipfw.log，而其他所有内容都保留在 system.log 中？

【参考方案1】：

这仅适用于山狮。

在 /etc/asl.conf 中，上面：

? [= Sender kernel] file /var/log/system.log mode=0600 gid=80 format=bsd

前置：

? [= Sender kernel] [A= Message ip] file /var/log/ipfw.log
? [= Sender kernel] [A= Message ip] ignore

注意：您可以指定“ipfw”和“ip6fw”的 Message 值，以便根据需要将它们分开。

HUP syslogd 就是这样！