有人通过 screen sharing 登陆了我的电脑，但在 system.log 里面查不到登陆日志，有可能是什么原因呢？

大神们，是不是这个远程登陆 log 不在 system.log 里面？我刚刚自己用另外一台电脑登陆了几次，之后去 system.log 里找也没找到登陆日志。所以究竟在哪里查看被远程登陆的记录啊？

@deadtomb #15

那别人怎么进来的？所以你是不是要考虑一下你的 icloud 账号是不是泄漏了

emmmmm 基于 macOS 是 unix……盲猜 last 会有登陆记录

@ferock 我确实是搞不清楚别人是怎么进来的，所以发帖在咨询啊。。。icloud 应该没关系吧，通过 icloud 账户能远程登陆电脑吗？

@q1angch0u
试了下 last 会显示最近一条，last -100 仍然也只显示最近一条。。。。这是怎么回事。。。这个是不是只能显示目前仍然在登陆状态的登陆记录啊？

@deadtomb #24

可以

@ferock 真的吗太好了 怎么实现呢？我一直苦恼需要用 ddns，如果能用 icloud 账号远程的话我都不需要 ddns 了

@deadtomb #27

看 apple 官网说明

@ferock https://support.apple.com/guide/mac-help/share-the-screen-of-another-mac-mh14066/11.0/mac/11.0
找到这个文章，里面说在 finder 中的 network 连接另一台电脑后有 screen sharing 图标但是我找了半天都没找到 screen sharing 图标在哪。。。。

另外我感觉对方是用的 remote management 协议而不是 screen sharing，因为他使用了 curtain 模式（屏幕上显示了一把锁我看不到他在操作电脑）

@deadtomb 你直接 spotlight 搜索 screen sharing 就有了

@Chihaya0824 我搜到的是 screen sharing 这个应用（当然还有这个帖子的浏览记录），但 screen sharing 这个应用是客户端吧，打开也没有什么地方可以查本机被登陆的记录

@deadtomb Try this
log show --last 3d --predicate 'processImagePath CONTAINS "screensharingd" AND eventMessage CONTAINS "Authentication"'

@Chihaya0824 我得到了这样的提示：log: Could not open local log store: The log archive is corrupt or incomplete and cannot be read
加了 sudo 也没用，奇怪了。我去到 /var/logs 目录下发现有 4 个文件分别是 keybagd.log.0 keybagd.log.1 keybagd.log.2 keybagd.log.3 我手动打开找了 screensharingd 这个关键字也没找到。我按日期找了当时那个时间前后的 log，发现 7 号晚上 11 点多这段时间没有 log 。（ 7 号的最后一条只到 10 点的样子，然后就是 8 号的 Log 了）

@deadtomb 是不是他连上来第一件事情就是删了 log，论黑客的自我修养（ doge

@Chihaya0824 是啊 楼上也有人说可能他删了 log 。。。由于没有记录，我也不知道他是怎么登陆进来的，所以也没有找到方法提高安全性，所以。。。如果他想再进来我感觉就随时可以来。。。只是上次刚好被我看到了而已。。。

@ferock 我试出原因了，如果另一台电脑跟目前这台在同一个网络内会有 screen sharing 的图标，如果没在一个网络内可以连上但没有 screen sharing

@deadtomb 虽然可能有点跑题，但是我你可以先怀疑一下内网设备。我有一次发现夏普的电视更新了安卓系统以后，每天会定时在晚上 6 点开始对我内网对各种开了 samba 服务的机器进行 ssh 暴力破解，还好我服务器报警了有人在暴力破解，然后我就的把那个电视的联网能力直接取消了

@Chihaya0824 这么吓人吗 是电视上的安卓中了病毒？应该不是原生设备所为吧？我内网设备都比较弱鸡应该没这个能力，另外当时我看到他的 IP 开头是 183 开头的应该是外网的人吧（当时被控制时屏幕顶部有个提示显示了对方的 IP ）

@deadtomb 183 看起来是外网的 ip