История выключений и перезагрузок на Mac

Вам не всегда нужен точный момент выключения или перезагрузки Mac — но иногда это критично: при разборе неполадок, расследовании инцидента доступа или при составлении графика событий. Ниже — простые и надёжные способы получить эти данные, разъяснения, сопутствующие приёмы и рекомендации для администраторов.

Быстрый обзор метода

• Команды: last shutdown и last reboot — показывают хронологию событий с момента первой записи (обычно с даты установки или последнего сброса настроек).
• Если журнал был очищен (например, после стирания диска), данные доступны только с новой точки отсчёта.
• Для глубинного поиска используйте «Консоль» или log show.

Использование Терминала для просмотра истории выключений и перезагрузок

Терминал — самый быстрый инструмент для получения списков событий. Никаких дополнительных приложений устанавливать не нужно.

Просмотр истории выключений

1. Откройте приложение «Терминал» (через Spotlight или в Программах → Утилиты).
2. Введите команду и нажмите Enter:

last shutdown

3. В выводе вы увидите список событий выключения с датой и временем. Выход обычно показывает большинство событий с момента, когда журнал начал записываться.

4. Если нужно сохранить результат:

last shutdown > ~/Documents/shutdown-history.txt

5. Проверьте файл в папке Документы или прикрепите его к отчёту.

Важно: если устройство проходило полный сброс (erase) или переустановку, журнал начинается заново с даты после этой операции.

Просмотр истории перезагрузок

1. Откройте Терминал.
2. Введите команду и нажмите Enter:

last reboot

3. Вы увидите записи о перезагрузках (reboot) со временем и датой. Как и в случае с выключениями, можно перенаправить вывод в файл:

last reboot > ~/Documents/reboot-history.txt

4. При необходимости объедините два вывода для общего таймлайна:

sort -k5,7 ~/Documents/shutdown-history.txt ~/Documents/reboot-history.txt > ~/Documents/power-events.txt

Что означают записи в выводе

• В записях обычно указывается тип события (shutdown или reboot), время и дата. Иногда виден источник (например, имя пользователя, если событие инициировано пользователем).
• Вывод last читает системные журналы входов/выходов и отображает список событий в обратном хронологическом порядке.

Важно: last показывает историю с момента создания файла журнала (/var/log/wtmp). Если файл был перезаписан или удалён, более ранние события недоступны.

Альтернативные подходы и расширенный поиск

• Приложение «Консоль» (Console.app): открывает системные журналы и позволяет фильтровать по ключевым словам (shutdown, reboot, panic). Удобно, если нужно увидеть сопутствующие сообщения и контекст (например, kernel panic перед выключением).

• Команда unified logging (для глубинного поиска):

sudo log show --predicate 'eventMessage CONTAINS "shutdown"' --last 7d

Эта команда ищет упоминания слова “shutdown” в объединённом журнале за последние 7 дней. Можно менять период (--last 1h, --last 30d) или предикаты для точного фильтра.

• Если нужно понять причину аварийного выключения, ищите в логах фразы типа “panic”, “Previous shutdown cause” или записи ядра, связанные с ошибками.

Когда метод не сработает

• Журналы были очищены или устройство было полностью отформатировано/переустановлено — тогда старые записи недоступны.
• Если система повреждена и журналы не читаются, понадобится восстановление из резервной копии.
• Аппаратные сбои, которые полностью прерывают запись на диск, могут оставить неполные записи.

Короткая методика для расследования (mini-methodology)

1. Снять начальную копию: last shutdown > ~/Documents/shutdown-raw.txt и last reboot > ~/Documents/reboot-raw.txt.
2. Открыть Консоль и найти сопутствующие лог-сообщения в пределах ±10 минут от события.
3. Сопоставить время событий с пользовательскими действиями (вход в систему, обновления, внешние устройства).
4. Сохранить все результаты в архив для отчёта.

Памятка для системных администраторов

• Роль администратора: проверьте наличие централизованного логирования (если используется), автоматический экспорт журналов и правила ретенции.
• Для инцидентов: всегда сохраняйте оригинальные файлы журналов, дату и время локально и на удалённое хранилище.
• При необходимости подпишите и проверьте контрольные суммы экспортированных файлов.

Критерии приёмки

• Успех: получен файл с записями shutdown и reboot, покрывающий нужный временной интервал.
• Неуспех: журнал не содержит требуемых дат (возможно, журнал был обнулён) — задокументировать и перейти к резервным источникам (резервные копии, MDM, централизованное логирование).

Советы по безопасности и конфиденциальности

• Экспорт журналов может содержать служебную информацию — перед передачей третьим лицам убедитесь в необходимости и примените анонимизацию, если требуется.
• Если анализ связан с инцидентом безопасности, ведите учёт цепочки хранения и доступа к экспортированным файлам.

Быстрая справка (1‑строчная глоссарий)

• Терминал: приложение для ввода команд Unix в macOS.
• last: утилита для просмотра истории входов/выходов и событий перезагрузки/выключения.
• log show: инструмент для просмотра системного журнала unified logging.

Итог

Просмотр истории выключений и перезагрузок на Mac — простая задача с помощью Терминала: last shutdown и last reboot дают быстрый доступ к хронологии событий. Для глубокого анализа используйте «Консоль» и log show, а администраторы должны сохранять и защищать экспортированные логи. Если журнал был очищен, данные доступны только с момента новой записи.

Важно: если вы готовите отчёт или передаёте данные для расследования, сохраняйте оригинальные файлы журналов и документируйте шаги по их получению.