Amazon Kinesis Remote Logging

Diese Referenz enthält alle verfügbaren Einstellungen für das Amazon Kinesis Remote Logging.

Erstellen der Zertifikate für Remote Logging Endpunkte für Compliance Reporter

Wenn Sie Daten von entfernten Endpunkten protokollieren möchten, benötigen Sie ein Zertifikat, um den Server zu verifizieren, der die Protokolle empfängt. Es gilt als Best Practice, die gesamte Zertifikatskette, mit der sich der Client verbinden soll, manuell zu definieren. Dieser Prozess dient nur für die ursprüngliche Bereitstellung. Nachdem die Einstellungen validiert wurden, können Sie Konfigurationsprofile in Jamf Pro nutzen, um Zertifikate zu Endpunkten in Production bereitzustellen. Weitere Informationen finden Sie unter Konfigurationsprofile für Computer im Jamf Pro Leitfaden für Administratoren.

  1. Führen Sie in Terminal den folgenden Befehl aus, um die vollständige Ausgabe für die Zertifikatsdatei zu erhalten:
    echo -n | openssl s_client -showcerts -connect HOSTNAME:PORT
  2. Kopieren Sie den Zertifikatstext inklusive der Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“, um die .txt-Dateien zu trennen. Beispiel:
    -----BEGIN CERTIFICATE-----
MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
... (truncated for readability)
-----END CERTIFICATE-----
  3. Nennen Sie die .txt-Datei in eine .pem-Datei um und doppelklicken Sie darauf, um die Datei in den Systemschlüsselbund zu importieren.

    Die Ausgabe sollte diesem Beispiel ähneln:

    $ ls -la certs.d
server-leaf-cert.pem
intermediate-ca.pem
root-ca.pem
$ cat server-leaf-cert.pem
-----BEGIN CERTIFICATE-----
MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
... (truncated for readability)
-----END CERTIFICATE----- 

Allgemeine Einstellungsschlüssel für das Remote Logging

Domäne
com.jamf.compliancereporter

Um Remote Logging zu aktivieren, müssen Sie zusätzlich zu den für Ihre SIEM-Lösung spezifischen Einstellungsschlüsseln die folgenden allgemeinen Einstellungsschlüssel konfigurieren.

SchlüsselBeschreibung
LogRemoteEndpointEnabled

Aktiviert die Netzwerkübertragung von Protokolldaten.

<key>LogRemoteEndpointEnabled</key>
<true/>
LogRemoteEndpointURL

URL, an die die Protokolldaten gesendet werden. Gilt für alle Arten von Remote Logging. Wenn Sie Splunk verwenden, hängen Sie der URL /services/collector/raw an. Wenn Sie Syslog TLS verwenden, stellen Sie der URL „tls://“ voran.

<key>LogRemoteEndpointURL</key>
<string>https://server.address.com:9093</string>
LogRemoteEndpointType
Typ für die Remote Logging Aggregationsserver. Verwenden Sie eine der folgenden Optionen, je nachdem, welche Art von Aggregationsserver Sie verwenden:

  • Splunk: "Splunk"

  • Apache Kafka: "Kafka"

  • TLS: "TLS"

  • REST Endpunkt: "REST"

  • Syslog TLS: "Syslog5424" oder "syslog3164"

  • Amazon Kinesis: "AWSKinesis"

<key>LogRemoteEndpointType</key>
<string>Server Name</string>

Einstellungsschlüssel für das Amazon Kinesis Remote Logging

Domäne
com.jamf.compliancereporter
SchlüsselBeschreibung
LogRemoteEndpointAWSKinesis

(Erforderlich) Verzeichnis für die Amazon Kinesis Einstellungsschlüssel

<key>LogRemoteEndpointAWSKinesis</key>
<dict></dict>
AccessKeyId

(Erforderlich) Amazon Web Services (AWS) API-Schlüssel zur Authentifizierung

<key>AccessKeyId</key>
<string>EJNPQUNWGIJWHEPK70DE</string>
SecretKey

(Erforderlich) Geheimer AWS API-Schlüssel für die Verwendung als Passwort bei der Authentifizierung

<key>SecretKey</key>
<string>vOQd2pqNMyNR3CetPbrEhzfT...</string>
StreamName

(Erforderlich) Name des Amazon Kinesis Streams. Darf kein ARN und keine URL sein.

<key>StreamName</key>
<string>complianceReporter</string>
Region

(Erforderlich) AWS Regionscode. Eine Liste der AWS Regionscodes finden Sie unter Regionen und Zonen im Amazon Elastic Compute Cloud Benutzerhandbuch.

<key>Region</key>
<string>us-east-1</string>