對異常大量的記錄檔進行疑難排解

大量記錄檔可能是由於某些應用程式每秒呼叫單一命令多次,從而檢查連線、配置或檔案的狀態所致。一般而言,這是由安全性應用程式,或未使用正確 macOS API 來擷取資訊的應用程式所引起的。

  1. 執行下列命令,以對包含大量記錄檔之電腦上的 subject.process_name 欄位進行計數和排序:
    tail -1000 /var/log/JamfComplianceReporter.log | egrep -o -e '"process_name":"([^"]+)'| cut -d'"' -f4 | sort | uniq -c | sort -h
  2. 執行下列命令,以對包含大量記錄檔之電腦上的 subject.responsible_process_name 欄位進行計數和排序:
    tail -1000 /var/log/JamfComplianceReporter.log | egrep -o -e '"responsible_process_name":"([^"]+)'| cut -d'"' -f4 | sort | uniq -c | sort -h
    輸出將顯示導致大量記錄檔的應用程式清單。要減少記錄檔數量,您可以將要從記錄檔中移除的應用程式新增到 AuditEventExcludedProcess 偏好設定鍵並重新載入。