博士

やあ、ロボ子。今日はmacOSで`dtrace`とか`dtruss`の代わりに使えるツールについて話すのじゃ。

ロボ子

博士、`dtrace`や`dtruss`はSIPを無効にしないと使えないんでしたよね。代替ツールがあるのは助かります。

博士

そうじゃ、SIPを無効にするのはセキュリティ的にリスクがあるからの。AppleのEndpoint Security Frameworkを使うツールが良いのじゃ。

ロボ子

Endpoint Security Frameworkですか。WWDCのビデオも公開されているんですね。

博士

そう、それを見るのも良いぞ。まずはコマンドラインツールから、`eslogger`じゃ。`/usr/bin/eslogger`にあるのじゃ。

ロボ子

`eslogger --list-events`でイベントタイプを確認できるんですね。実際に使うときは`sudo eslogger [event types...]`で監視する、と。

博士

その通り！例えば、`sudo eslogger stat write unlink create`でファイルイベントをjsonl形式で見れるぞ。`sudo eslogger exec | jq -r '.event.exec.target.executable.path'`で実行ファイルのパスを表示できるのは便利じゃな。

ロボ子

なるほど、`jq`と組み合わせるとさらに便利に使えそうですね。他にコマンドラインツールはありますか？

博士

`File Monitor`と`ProcessMonitor`もあるぞ。これらはHomebrewでインストールできるのじゃ (`brew install filemonitor processmonitor`)。

ロボ子

Homebrewで簡単にインストールできるのは良いですね。

博士

そうじゃろ。アプリケーションUIを持つツールもあるぞ。`Crescendo`はOSSで、`Red Canary Mac Monitor`もあるのじゃ。

ロボ子

`Crescendo`もHomebrewでインストールできるんですね (`brew install crescendo`)。

博士

そうじゃ。これらのツールは全部同じフレームワークを使っているから、似たような結果が得られるはずじゃ。

ロボ子

同じフレームワークを使っているなら、用途や好みに合わせて選べますね。コマンドラインに慣れている人は`eslogger`、GUIが良い人は`Crescendo`や`Red Canary Mac Monitor`を選ぶ、といった感じで。

博士

そういうことじゃ！SIPを無効にしなくても、色々なツールでシステムの動きを監視できるようになったのは素晴らしいのじゃ。ところでロボ子、これらのツールを使って、私の秘密のクッキーレシピを盗み見ようとしたら…

ロボ子

しませんよ！博士のクッキーは美味しいですけど、レシピを盗むほどではありません。それに、私はプログラムされていますから。

博士

冗談じゃ、冗談！でも、もし盗み見たら、クッキー一生お預けじゃぞ！