osquery在macOS 15 Sequoia中ALF表失效问题分析

在macOS系统监控工具osquery的最新使用中发现，运行在macOS 15 Sequoia（Beta 5版本）上的osquery 5.12.1版本中，ALF（Application Layer Firewall）表查询返回空结果。这一问题引起了开发者社区的关注，本文将从技术角度深入分析问题原因及可能的解决方案。

问题现象

ALF表是osquery中用于查询macOS应用层防火墙状态的重要虚拟表。在正常情况下，执行SELECT * FROM alf;应该返回防火墙的配置信息，包括是否启用、日志记录状态等。但在macOS 15系统中，这一查询却返回空结果集。

根本原因分析

经过技术团队调查，发现问题根源在于macOS 15系统架构变更。传统上，osquery通过读取/Library/Preferences/com.apple.alf.plist文件来获取防火墙配置信息。然而在macOS 15中，这一配置文件已被移除，导致查询机制失效。

技术解决方案探索

技术团队提出了几种可能的解决方案：

1. 系统分析器方案：通过system_profiler SPFirewallDataType命令可以获取防火墙信息，这与获取SecureBoot状态的方案类似。这一方法在macOS 14和15上均有效，输出内容包括：

   • 防火墙模式
   • 应用程序例外规则
   • 日志记录状态
   • 隐身模式设置

2. 替代配置文件方案：团队曾尝试寻找替代的plist文件（如之前考虑的/Library/Preferences/com.apple.security.firewall.plist），但发现这些文件在macOS 15中并未包含所需的防火墙信息。

3. 命令行工具方案：虽然socketfilterfw工具可以直接获取防火墙状态，但由于osquery的安全策略限制，不推荐使用执行外部命令的方式。

实现建议

基于现有分析，推荐采用系统分析器方案进行实现。这种方案具有以下优势：

• 无需执行外部二进制文件，符合osquery的安全模型
• 在多个macOS版本上保持兼容性
• 提供的信息全面且结构化

实现时需要注意处理系统分析器的输出格式，将其转换为osquery表的标准数据结构。同时应考虑添加版本检测逻辑，针对不同macOS版本采用适当的查询方式。

总结

macOS系统升级带来的架构变化常常会影响系统监控工具的正常工作。osquery团队正在积极应对macOS 15中的这一变更，计划通过更健壮的实现方式来恢复ALF表功能。这一案例也提醒我们，在系统监控工具开发中需要持续关注底层系统的演进，建立灵活的适配机制。