ova
Torna al blog
·10 min di lettura·productdevbook

Come fare un audit dell'attività di rete del tuo Mac

Un audit ripetibile da fare in 20 minuti per sapere con chi parla il tuo Mac e decidere cosa lasciare attivo.

  • Security
  • Privacy
  • macOS
  • Network monitoring

Metti da parte venti minuti una volta a trimestre per fare l'audit dell'attività di rete del Mac, e l'unica domanda è se hai un processo che puoi davvero eseguire, o se andrai a braccio di nuovo con nettop e un block notes. Questa guida ti dà uno script ripetibile da 20 minuti: scansione, review, controllo hostname, ritenzione log, azioni concrete. Eseguilo allo stesso modo ogni volta. Confronta con l'ultimo trimestre. Individua il drift.

Ecco come fare l'audit dell'attività di rete Mac senza trasformarlo in un pomeriggio intero.

Perché farlo — e cosa stai cercando

Il punto dell'audit non è la paranoia. È il drift. Ogni installazione macOS gradualmente accumula servizi in background che hanno iniziato a parlare con internet a un certo punto e non si sono mai fermati. Un audit trimestrale cattura:

  • App che hai dimenticato di aver installato che continuano a telefonare a casa quotidianamente.
  • Endpoint di telemetria che sono diventati più chiacchieroni di prima (dopo un aggiornamento).
  • Processi ausiliari (Chrome, Slack, Adobe) che hanno silenziosamente aggiornato la loro impronta di rete.
  • Connessioni in uscita verso hostname che non riconosci.

Un audit di 20 minuti, quattro volte all'anno, è abbastanza per catturare quasi tutto.

Cosa ti serve prima di iniziare

  • Un monitor di rete nella barra dei menu. ova è quello che usa questa guida. Circa 3 MB, campiona i rate per app a ~1 Hz, raggruppa i processi ausiliari sotto il loro genitore.
  • nettop — integrato. Niente da installare.
  • Opzionale: Little Snitch o LuLu per visibilità a livello hostname. L'audit funziona senza ma è più affilato con.
  • Un'app per appunti o file di testo semplice per le scoperte. L'audit è utile solo se puoi confrontarlo con la volta scorsa.

Tutto qui. Niente installazioni extra oltre il monitor, niente kernel extension, niente cambi di sistema.

Lo script di 20 minuti per fare l'audit dell'attività di rete Mac

Ecco il programma. Attieniti al timing — andare oltre i 30 minuti trasforma un'abitudine trimestrale in "qualcosa che farò quando ho tempo", che significa mai.

Minuti 0-2: Stabilisci la baseline

Esci dalle app che non ti servono aperte. Lascia in esecuzione: il browser, il Finder, i servizi di sistema. L'obiettivo è vedere il tuo uso di rete "ambient" — cosa fa il Mac quando non lo stai usando attivamente.

Apri ova dalla barra dei menu. Annota il rate totale up/down. Su un Mac a riposo, ti aspetteresti qualche KB/s per gli heartbeat di notifiche push, iCloud, e Spotlight. Qualsiasi cosa sopra 100 KB/s sostenuto a riposo merita uno sguardo.

Minuti 2-7: Scansione nettop

Apri il Terminale. Esegui:

nettop -P -m route -L 5 > ~/Desktop/nettop-$(date +%Y%m%d).txt

-L 5 cattura cinque campioni (uno al secondo di default), poi esce. L'output va in un file datato sulla scrivania — lo terrai per la ritenzione dopo.

Mentre gira, non fare niente. Cinque secondi, poi controlla il file. Vedrai righe tipo:

Slack.21341    in:1.2KB  out:823B
Google Chrome.41203   in:48KB   out:9KB
WhatsApp.55102 in:512B   out:0B

Scorri per qualsiasi cosa non riconosci. I nomi che non riesci a piazzare sono indizi.

Minuti 7-12: review per app nel monitor

Passa a ova. Apri la lista per app. Ordina per byte totali nell'ultima ora (o la finestra più lunga che l'app mostra di default).

Per ogni app nelle top 10, chiediti:

  1. Quest'app dovrebbe essere sulla rete adesso? Un player musicale — sì. Un lettore PDF — probabilmente no.
  2. Il volume è ragionevole? Slack a 30 KB/s sostenuti è normale. Slack a 3 MB/s sostenuti è insolito.
  3. Quest'app è una che ho installato di proposito, o un avanzo? Se è avanzo, disinstalla.

Il raggruppamento dei processi ausiliari conta qui. Senza, le top 10 si riempiono di righe come Google Chrome Helper (Renderer), Slack Helper (GPU), Discord Helper (Plugin). Con il raggruppamento, ognuna di queste collassa sotto l'app principale e puoi davvero leggere la lista.

Raggruppamento dei processi ausiliari
ova raggruppa i PID degli helper sotto il loro genitore così la lista per app si legge come applicazioni invece che come alberi di processi. L'audit va più rapido.

Minuti 12-16: Controllo hostname

Qui Little Snitch (o LuLu) si guadagna il posto. Se ce l'hai installato, apri la vista Network Monitor e guarda gli hostname per processo per la finestra di audit.

Se non hai uno strumento di classe firewall, puoi comunque fare un controllo hostname parziale tailando il log unificato:

log show --predicate 'subsystem == "com.apple.network.connectivity"' --style compact --last 20m | head -200

L'output è denso, ma cercare connect to o nomi specifici di app farà emergere indizi sui domini.

Cosa stai cercando:

  • Hostname non familiari. Cerca il dominio in un browser. Un endpoint di telemetria legittimo di solito ha uno scopo documentato.
  • Connessioni frequenti a domini di pubblicità/tracking. Colpevoli comuni: *.doubleclick.net, *.scorecardresearch.com, *.googletagmanager.com. Le estensioni del browser possono aiutare (uBlock Origin), ma per le app native, una regola firewall è la risposta.
  • Connessioni a paesi che non ti aspetti. Non intrinsecamente cattive — molti CDN sono regionali — ma vale la pena annotarle.

Minuti 16-18: Ritenzione log

Prendi il file nettop-YYYYMMDD.txt che hai generato e spostalo in una cartella, es. ~/Documents/network-audits/. Opzionalmente esporta il sommario per app da ova come screenshot.

Perché conservare: il tuo primo audit è solo uno snapshot. Il secondo diventa un confronto. Al terzo, puoi individuare tendenze — "il traffico Adobe è raddoppiato nel Q2" o "Spotify è passato da 200 KB/s a 800 KB/s dopo l'aggiornamento".

Una cartella flat di file di testo e screenshot basta. Niente tooling fancy.

Minuti 18-20: Azioni concrete

Scrivi tre-cinque azioni concrete. Esempi da audit reali:

  • "Disinstalla MagicScreenshotPro — usato due volte l'anno scorso, parla con la telemetria ad ogni lancio."
  • "Blocca Adobe *.adobe.io in Little Snitch — serve solo per il controllo licenza, che può fallire con grazia."
  • "Investiga il picco in uscita di 14 MB da mds_stores — probabilmente reindex Spotlight, ma conferma al prossimo audit."
  • "Aggiungi un profilo DNS Quad9."
  • "Disabilita analytics in Microsoft Word."

Tre-cinque è il numero giusto. Più di così e non li farai. Meno e l'audit non ha fatto emergere nulla, che di solito significa che non stavi guardando con attenzione.

Esegui l'audit con una vista in tempo reale

ova mostra rate live per app e una cronologia scorrevole — locale, firmato, ~3 MB.

Scarica per macOS

Cosa tracciare trimestre dopo trimestre

Qualche cosa che vale la pena confrontare con l'ultimo audit:

SegnalePerché conta
Traffico baseline a riposoDrift in alto significa qualcosa di nuovo è chiacchierone
Top 5 app per byte/giornoRivela nuove entrate o crescita
Numero di hostname distintiSale = più servizi contattati
Helper in background che giranoAdobe / Office spesso ne aggiungono di nuovi tra gli aggiornamenti
App con estensioni kernel/reteOgnuna è una delega di fiducia

Non ti serve un foglio di calcolo. Una nota di quattro righe per audit basta.

Scoperte comuni (e cosa fare)

"Un'app che ho disinstallato è ancora sulla rete"

Alcune app lasciano dietro LaunchAgent. Elencali:

ls ~/Library/LaunchAgents/ /Library/LaunchAgents/ /Library/LaunchDaemons/

Qualsiasi cosa legata all'app disinstallata — com.example.helper.plist — può essere rimossa. Usa prima launchctl unload, poi elimina. Riauditi al prossimo trimestre per confermare che sia sparita.

"Monitoraggio Attività mostra numeri diversi dal mio strumento nella barra dei menu"

La scheda Rete di Monitoraggio Attività conta dall'avvio del processo. Un monitor nella barra dei menu conta in una finestra mobile. Lenti diverse sugli stessi dati del kernel — entrambi onesti, solo che misurano intervalli diversi.

"Vedo 50 KB/s costanti che non riesco a giustificare"

Sospetta, in ordine: sync iCloud, Time Machine via rete, reindex Spotlight, backup stile Backblaze/Carbonite, sync Dropbox/Drive, un download di aggiornamento OS. nettop -P nominerà il PID. La maggior parte è legittima. Conferma uscendo dall'app sospetta e guardando il rate calare.

Considerazioni di privacy durante l'audit

Se salvi i log, quei log contengono hostname e timestamp — metadati sensibili. Memorizzali localmente, non in cartelle iCloud Drive sincronizzate, a meno che tu non sia a tuo agio con quello. Meglio ancora, esegui un audit che resta locale end-to-end:

  • Monitor che mantiene la cronologia su disco (niente dashboard cloud).
  • Output nettop salvato in una cartella locale.
  • Note in un file di testo locale, non un doc sincronizzato sul cloud.

ova si adatta a questo profilo per design — non c'è dashboard remota, niente account, niente telemetria. La cronologia di banda è sul tuo Mac e da nessun'altra parte.

Il quadro più ampio: perché un monitor si abbina a un firewall

L'audit produce scoperte. Alcune scoperte sono "dovrei bloccare questo". Lì entra Little Snitch (o LuLu) — imposta la regola, e ri-esegui l'audit il prossimo trimestre per confermare che la regola ha tenuto.

Un pattern comune:

  1. L'audit identifica un Adobe Updater chiacchierone.
  2. Regola Little Snitch: nega Adobe Updater in uscita.
  3. ova conferma la prossima volta che lanci Photoshop che il traffico dell'updater è ora zero.

Il monitor e il firewall fanno cose diverse. Vuoi entrambi per un vero loop di audit.

In conclusione

Un'abitudine trimestrale di 20 minuti per fare l'audit dell'attività di rete Mac cattura il drift che trasforma un Mac pulito in uno chiacchierone. Lo script è: baseline a riposo, snapshot nettop, review per app con raggruppamento helper, controllo hostname, ritenzione log, tre-cinque azioni concrete. Eseguilo allo stesso modo ogni volta. Confronta con la volta scorsa. Agisci sulle scoperte.

Scegli una data — l'ultimo venerdì del trimestre, la mattina di un weekend lungo, qualunque cosa regga. Mettila in calendario adesso. La parte più difficile dell'abitudine all'audit è iniziare; una volta che hai un file di cronologia in ~/Documents/network-audits/, ne vorrai un secondo.