osquery在macOS 15中alf_exceptions表查询问题解析

在macOS系统监控工具osquery的最新版本中，开发人员发现了一个与应用程序防火墙(Application Layer Firewall, ALF)相关的功能异常。当用户在macOS 15系统上执行alf_exceptions表查询时，无法获取预期的防火墙例外规则数据。

问题现象

当用户尝试通过osquery查询alf_exceptions表时，系统返回空结果集，同时在日志中记录错误信息："Error parsing /Library/Preferences/com.apple.alf.plist: Unable to read plist: /Library/Preferences/com.apple.alf.plist"。这表明osquery无法正确读取和解析macOS系统的防火墙配置文件。

技术背景

macOS的应用程序防火墙(ALF)配置通常存储在/Library/Preferences/com.apple.alf.plist文件中。这个plist文件包含了系统防火墙的所有设置，包括允许或阻止特定应用程序网络通信的规则。在macOS 15之前，osquery通过直接读取和解析这个plist文件来获取防火墙例外规则。

问题根源

经过分析，这个问题与macOS 15系统的安全机制变更有关。新版本系统可能调整了防火墙配置的存储位置或格式，导致传统的plist文件读取方式失效。实际上，macOS 15引入了新的防火墙配置管理方式，系统现在通过system_profiler工具以JSON格式提供防火墙状态信息。

解决方案

开发团队已经针对此问题发布了修复补丁。新的实现方案改为通过system_profiler工具获取防火墙配置数据，这与macOS 15系统的设计变更保持一致。具体来说，修复后的osquery会执行"system_profiler -json SPFirewallDataType"命令来获取防火墙状态，然后解析返回的JSON数据来填充alf_exceptions表。

技术影响

这一变更不仅解决了macOS 15下的兼容性问题，还带来了以下优势：

1. 更可靠的数据获取方式，不再依赖直接读取可能受保护的plist文件
2. 与系统原生工具保持一致，减少未来系统升级带来的兼容性问题
3. 支持更丰富的防火墙配置信息，包括全局状态、日志设置等

用户建议

对于使用osquery监控macOS系统的用户，建议：

1. 升级到包含此修复的osquery版本(5.13.1之后)
2. 检查现有的监控脚本，确保它们能正确处理alf_exceptions表的新数据结构
3. 注意macOS系统更新可能带来的类似配置存储方式变更

这个问题展示了系统监控工具如何需要不断适应底层操作系统的变化，也体现了osquery团队对macOS系统特性的快速响应能力。