捕获NSLog日志小记

既往不恋&＃xff0c;纵情向前

原文链接

一、NSLog概述

1、NSLog是什么

NSLog是一个C函数&＃xff0c;函数声明如下&＃xff1a;

//Logs an error message to the Apple System Log facility. FOUNDATION_EXPORT void NSLog(NSString *format, ...) NS_FORMAT_FUNCTION(1,2) NS_NO_TAIL_CALL;

根据苹果的文档介绍&＃xff0c;NSLog的作用是输出信息到标准的Error控制台和苹果的日志系统(ASL&＃xff0c;Apple System Log)里面(iOS 10之前)。
iOS10之后&＃xff0c;苹果使用新的统一日志系统(Unified Logging System)来记录日志&＃xff0c;全面取代ASL的方式&＃xff0c;此种方式&＃xff0c;是把日志集中存放在内存和数据库里&＃xff0c;并提供单一、高效和高性能的接口去获取系统所有级别的消息传递。
新的统一日志系统没有ASL那样的接口可以让我们取出全部日志。

2、NSLog日常使用

NSLog在调试阶段&＃xff0c;日志会输出到到Xcode中&＃xff0c;而在iOS真机上&＃xff0c;它会输出到系统的/var/log/syslog这个文件中。
在日常开发中&＃xff0c;很多人喜欢使用NSLog来输出调试信息&＃xff0c;但是都知道NSLog是比较消耗性能呢&＃xff0c;NSLog输出的内容或次数多了之后&＃xff0c;甚至会影响App的体验。
于是乎&＃xff0c;比较常见的手段是&＃xff0c;线上不使用NSLog&＃xff0c;DEBUG下才真正使用NSLog。

#if DEBUG #define MYLOG(fmt, ...) NSLog((&＃64;"%s [Line %d] " fmt), PRETTY_FUNCTION, LINE, ##VA_ARGS); #else #define MYLOG(fmt,...) {} #endif

3、常见的日记收集框架

日志收集主要用了两个开源框架来实现&＃xff1a;PLCrashReporter与CocoaLumberjack。PLCrashReporter主要用来崩溃日志收集&＃xff0c;CocoaLumberjack是用来收集非崩溃日志。
CocoaLumberjack中实现了对NSLog日志的捕获。

4、捕获NSLog日志有三种方式

iOS 10以前可以通过ASL接口来获取
通过fishhook库hook NSLog方法重定向NSLog函数
使用dup2函数和STDERR句柄重定向NSLog函数

二、获取NSLog的日志输出(iOS 10前)

参考CocoaLumberjack中的DDASLLogCapture实现

1、流程介绍

执行DDASLLogCapture的start方法&＃xff0c;启动一个异步全局队列去捕获ASL存储的日志&＃xff1b;

&＃43; (void)start {//...dispatch_async(dispatch_get_global_queue(DISPATCH_QUEUE_PRIORITY_DEFAULT, 0), ^(void){[self captureAslLogs];}); }

当日志被保存到ASL的数据库时候&＃xff0c;syslogd(系统里用于接收分发日志消息的日志守护进程)会发出一条通知。因为发过来的这一条通知可能有多条日志&＃xff0c;需要先将几条日志进行合并。

&＃43; (void)captureAslLogs {//.... }

将获得到的数据转成char 字符串类型&＃xff0c;再转成NSString类型&＃xff0c;最后封装成DDLogMessage对象&＃xff0c;通过[DDLog log: message:] 方法将日志记录下来。

&＃43; (void)aslMessageReceived:(aslmsg)msg {//... }

说明&＃xff1a;以上方法不会影响Xcode控制台的输出&＃xff0c;无侵入。

2、注册进程间的系统通知

captureAslLogs中通过notify_register_dispatch来注册监听进程间的系统通知&＃xff1b;

notify_register_dispatch(kNotifyASLDBUpdate, ¬ifyToken, dispatch_get_global_queue(DISPATCH_QUEUE_PRIORITY_HIGH, 0), ^(int token){//...});

其中宏kNotifyASLDBUpdate表示&＃xff1a;日志被保存在ASL数据库发出的跨进程通知&＃xff1b;

/** ASL notifications* Sent by syslogd to advise clients that new log messages have been* added to the ASL database.*/ #define kNotifyASLDBUpdate "com.apple.system.logger.message"

将日志保存到ASL数据库时还有很多通知&＃xff0c;比如宏kNotifyVFSLowDiskSpace表示&＃xff1a;系统磁盘空间不足&＃xff0c;捕获到这个通知时&＃xff0c;可以去清理缓存空间&＃xff0c;避免缓存写入磁盘失败的情况。

#define kNotifyVFSLowDiskSpace "com.apple.system.lowdiskspace"

三、NSLog重定向

1、介绍

在iOS10之后&＃xff0c;新的统一日志系统(Unified Logging System)全面取代ASL&＃xff0c;没有ASL那样的接口可以让我们取出全部日志&＃xff0c;所以为了兼容新的统一日志系统&＃xff0c;你就需要对NSLog日志的输出进行重定向。
NSLog 进行重定向&＃xff0c;可以采用 Hook的方式。因为 NSLog 本身就是一个 C 函数&＃xff0c;可以使用fishhook进行重定向。
fishhook是Facebook提供的一个动态修改链接Mach-O文件的工具&＃xff0c;能够hook C函数。

2、fishhook原理

APP运行时&＃xff0c;Mach-O文件被dyld&＃xff08;动态加载器&＃xff09;加载进内存
ASLR(地址空间布局随机化)让Mach-O被加载时内存地址随机分配
苹果的PIC位置与代码独立技术&＃xff0c;让Mach-O调用系统库函数时&＃xff0c;先在Mach-O表中的_DATA段建立一个指针指向外部库函数&＃xff0c;dyld加载MachO时知道外部库函数的调用地址&＃xff0c;会动态的把_DATA段的指针指向外部库函数
fishhook能够替换NSLog等库函数&＃xff0c;这事是因为Mach-O的符号表里有NSLog等&＃xff0c;可以通过符号表找到NSLog字符串。

说明&＃xff1a;具体原理参考iOS逆向工程 - fishhook原理

3、利用fishhook hook NSLog函数

实现代码如下&＃xff1a;

//申明一个函数指针用于保存原NSLog的真实函数地址 static void (*orig_nslog)(NSString *format, ...);//NSLog重定向 void redirect_nslog(NSString *format, ...) {//可以添加自己的处理&＃xff0c;比如输出到自己的持久化存储系统中//继续执行原来的 NSLogva_list va;format &＃61; [NSString stringWithFormat:&＃64;"[hook success]%&＃64;",format];va_start(va, format);NSLogv(format, va);va_end(va); }int main(int argc, const char * argv[]) {&＃64;autoreleasepool {struct rebinding nslog_rebinding &＃61; {"NSLog",redirect_nslog,(void*)&orig_nslog};rebind_symbols((struct rebinding[1]){nslog_rebinding}, 1);NSLog(&＃64;"%&＃64;, hello word!",&＃64;"ss");}return }//[hook success]ss, hello word!

利用fishhook对方法的符号地址进行了重新板顶&＃xff0c;从而只要是NDSLog的调用就会转向redirect_nslog方法调用。

参考&＃xff1a;使用fishhook hook NSLog 函数

四、dup2重定向

1、介绍

NSLog最后重定向的句柄是STDERR&＃xff0c;NSLog输出的日志内容&＃xff0c;最终都通过STDERR句柄来记录&＃xff0c;而dup2函数式专门进行文件重定向的&＃xff1b;
可以使用dup2重定向STDERR句柄&＃xff0c;将内容重定向指定的位置&＃xff0c;如写入文件&＃xff0c;上传服务器&＃xff0c;显示到View上。

2、核心代码

实现重定向&＃xff0c;需要通过NSPipe创建一个管道&＃xff0c;pipe有读端和写端&＃xff0c;然后通过dup2将标准输入重定向到pipe的写端。再通过NSFileHandle监听pipe的读端&＃xff0c;最后再处理读出的信息。
之后通过printf或者NSLog写数据&＃xff0c;都会写到pipe的写端&＃xff0c;同时pipe会将这些数据直接传送到读端&＃xff0c;最后通过NSFileHandle的监控函数取出这些数据。

- (void)redirectSTD:(int )fd {NSPipe * pipe &＃61; [NSPipe pipe] ;NSFileHandle *pipeReadHandle &＃61; [pipe fileHandleForReading] ;int pipeFileHandle &＃61; [[pipe fileHandleForWriting] fileDescriptor];dup2(pipeFileHandle, fd) ;[[NSNotificationCenter defaultCenter] addObserver:selfselector:&＃64;selector(redirectNotificationHandle:)name:NSFileHandleReadCompletionNotificationobject:pipeReadHandle] ;[pipeReadHandle readInBackgroundAndNotify]; }- (void)redirectNotificationHandle:(NSNotification *)nf {NSData *data &＃61; [[nf userInfo] objectForKey:NSFileHandleNotificationDataItem];NSString *str &＃61; [[NSString alloc] initWithData:data encoding:NSUTF8StringEncoding] ;//可以添加自己的处理,可以将内容显示到View,或者是存放到另一个文件中等等//todo[[nf object] readInBackgroundAndNotify]; }//使用 [self redirectSTD:STDERR_FILENO];