Estou executando o OS X Mavericks e uso o firewall "packet filter". No entanto, parece que "pflogd" não está disponível.
Eu descobri que você pode criar uma interface chamada pflog0 e então usar o tcpdump para ver os pacotes que o pf derrubou. No entanto, gostaria de ter um arquivo de log.
Minha solução foi criar um plad launchd e criar essa interface na inicialização, iniciar o tcpdump (como root) e registrar tudo em /var/pf.log; funciona perfeitamente.
No entanto, estou um pouco preocupado em ter o tcpdump rodando o dia todo no modo root em segundo plano, devo?
Obrigado
Descobri que o tcpdump não requer sudo ao escutar em uma interface (sem opções especiais), eu achei que era ...
De qualquer forma, posso apenas criar a interface com um script em / Library / LaunchDaemons e iniciar o tcpdump com outro script em ~ / Library / LaunchAgents e ativar o log. Tudo funciona bem:)
Eu não conheço o OS X Mavericks, mas testei no OS X Mountain (não no boot):
Edite o arquivo /etc/sudoers
Adicione o seguinte para evitar a solicitação de senha:
youruser ALL=(ALL) NOPASSWD: /usr/sbin/tcpdump
Inicie o tcpdump em background e log para capturar o arquivo (o ponto principal aqui é o & que faz o comando rodar em segundo plano):
sudo tcpdump -i pflog0 -s 0 -B 524288 -w ~/Desktop/myfile.pcap &
Para parar o tcpdump, elimine-o, recuperando o ID do processo:
ps -ef
sudo kill pid
Para abrir o arquivo de captura:
tcpdump -s 0 -n -e -x -vvv -r ~/Desktop/myfile.pcap