OS X Systemverlauf? wichtig..

[blackwaves]

Hallo,

ich wollte euch mal fragen ob es unter OS X eine Möglichkeit gibt, sich einen detaillierten Systemverlauf anzeigen zu lassen? Insbesondere der Zugriff auf Mail und Ornder sowie das Öffnen von .PDFs und .PSDs sowie das verschieben von Daten auf einen externen Datenträger wären relevant.

 

[noodyn]

Was verstehst du unter "Systemverlauf"? Meinst du ein Zugriffsprotokoll?

 

[Schiffversenker]

Einfach mal in der Konsole schauen, was da an Log-Dateien angeboten wird.
Zugriffe auf's Dateisystem kann man angeblich mit dem Programm fseventer protokollieren lassen. Hab es aber nie ausprobiert und auch keine Ahnung, ob es unter dem unbekannten Betriebssystem des TE läuft (OS X hat viele Varianten…).
Soll hier jemand kontrolliert werden? Wär da nicht erstmal zu überlegen, nicht jedermann Zugriff auf den eigenen Account und die eigenen Daten zu geben?

 

[blackwaves]

Hallo,

konkret:
ein größeres Projekt hat auf wundersame Weise meinen Mac verlassen und ist an anderer Stelle aufgetaucht. Ich will einen Verdacht eher aus der Welt schaffen, als jemanden künftig kontrollieren. Geschützt war der Mac nur mit einem Passwort, da die Person um die es geht, zu meinen engsten Vertrauten zählt. Trotzdem ist das Passwort für den besagten Mac nur mir bekannt.

Deshalb bräuchte ich eine Möglichkeit, um herauszufinden, was am Xten auf dem Gerät passiert ist. Habe seit dem nicht mit dem Gerät gearbeitet.

Danke euch!

 

[walfreiheit]

Das Programm "Konsole" (/Applications/Utilities/Konsole.app) bietet doch einiges an Informationen.

 

[Schiffversenker]

Trotzdem ist das Passwort für den besagten Mac nur mir bekannt.

Wenn mehrere Personen an einem Rechner arbeiten, dann gibt es nicht nur ein Passwort für den Mac, sondern eines für jeden Benutzeraccount.
Egal wie vertraut. Ganz abgesehen von Vertraulichkeit, wer will denn, daß jemand anders ständig an den Einstellungen usw. rumspielt?


Edit: Das ist natürlich nicht der allgemeine und vorgegebene IST-Zustand. Das "dann gibt es" ist als apodiktisches (?) "So muß es sein, basta" zu verstehen.

Ich gehe mal davon aus, daß das genannte Projekt eigentlich nicht von mehreren bearbeitet werden sollte. Wenn doch, sollte man das dennoch über mehrere Accounts regeln, auch wenn das unter Umständen etwas komplizierter ist, aber auch dafür gibt es geeignete Software zu Zugriffskontrolle (oder man kopiert nach dem Bearbeiten die Daten auf seinen eigenen Account). Schon weil das ja auch von mehreren Rechner aus geschehen kann, möglicherweise gleichzeitig.

 

[rechnerteam]

Du kannst die Findersuche so konfigurieren, dass die letzten Zugriffe auf Dateien angezeigt werden. Du kannst auch die Fensterdarstellung dahingehend verändern.

Das verschafft einen ersten Überblick.

 

[Olivetti]

"zugriffe" und "letztes öffnungsdatum" sind halt spotlight-metadaten. mit cmd-info aufs file wird dir unter "weitere informationen" auch "zuletzt geöffnet: ..." angezeigt oder mit "mdls file".

wenn dein gegner die unverschlüsselte platte z.b. im targetdisk-mode behandelt hat, kannst du das über die findersuche (spotlight index) nicht sehen, dann hilft AFAIK eigentlich nur ein forensik tool, wie sleuth-kit/autopsy mit istat, um direkt auf die catalog file daten im file system zuzugreifen.