Visto che stai usando Mac, manipolare i registri è semplice come elevare te stesso a un utente root (admin), usando un comando come 'sudo -i' nel tuo terminale, e poi modificarli a tuo piacimento.
Per quanto mi riguarda, i registri sono i migliori amici di un professionista della sicurezza. Più registri hai più informazioni da cui estrarre (allo stesso tempo, ci sono più dati da sottoporre a scansione, che ha più a che fare con l'ultima domanda). I registri sono una delle molte risorse quando si tratta di analisi forensi.
Quando si tratta di attaccanti che ottengono l'accesso ai registri, è più preoccupante per loro modificare i registri per coprire le loro tracce. Se un utente malintenzionato ha accesso ai tuoi file di registro, ha già il tuo sistema, quindi non c'è una vera ragione per preoccuparsi che acquisiscano informazioni dirette dai log. D'altra parte, i dati di tendenza possono essere utilizzati per altri mezzi. Ad esempio, se un utente malintenzionato può accedere ai registri su una workstation in una società, può essere in grado di dedurre quali sono i tempi di lavoro medi di un utente (il che, di nuovo, sembra essere un punto controverso per la maggior parte dei casi che vedono che hanno già accesso alla scatola).
Per quanto riguarda la tua ultima domanda, gli strumenti per correlare questi log sono molto utili. Lo strumento principale che stai cercando è un SIM / SEM . Questo è uno strumento che prende i registri e, in base alla profilazione e alle tendenze di attacco tradizionali, avvisa l'amministratore / professionista della sicurezza che esegue lo strumento del potenziale problema. Alcuni buoni esempi di SIM / SEM o SIEM (che credo sia il termine più comune) sono arcsight , loglogic , alienvult / ossim e logrhythm .
Non ho mai pensato che i registri fossero tutt'altro che buoni. Quindi, ti preghiamo di pensarci due volte prima di cancellare i log o persino rimuovere i dati dai tuoi log. Più giochi con i tuoi registri meno diventano preziosi. Non sono riuscito a trovare un incidente di sicurezza / un gestore eventi progettato per un Mac con la mia ricerca limitata, ma può ancora essere fatto.
Rileggendo la mia risposta, i miei pensieri erano piuttosto ristretti, quindi mi scuso se mi sono perso alcuni altri strumenti orientati al log che sono possibilità. Fammi sapere se vuoi chiarimenti su tutto ciò che ho detto, mi sto ancora svegliando: -).