Protokollsammlung

Die folgende Tabelle enthält alle verfügbaren Einstellungen für die Protokollsammlung in Compliance Reporter.

Einstellungsschlüssel für die Protokollsammlung

Domäne
com.jamf.compliancereporter
SchlüsselBeschreibung
UnifiedLogPredicates

Sammelt Protokolle aus der Standard- und der Informationsebene von vereinheitlichten Protokollen. Jeder String definiert ein Suchprädikat, das festlegt, welche Ereignisse vereinheitlichter Protokolle gesammelt und an die SIEM-Lösung übertragen werden. Beachten Sie beim Definieren von Suchprädikaten Folgendes:

  • Sie können mehrere Suchen in einem String definieren. Es wird empfohlen, dass Sie nicht mehr als fünf Suchen pro String definieren, da eine höhere Anzahl zu Leistungseinbußen führen kann.

  • Sonderzeichen müssen als HTML-Entitäts-Name formatiert sein.

Hinweis:

In macOS 10.14 oder neuer werden Protokolle in Echtzeit gestreamt. In macOS 10.13 oder älter werden Protokolle stündlich gesammelt.

<key>UnifiedLogPredicates</key>
<array>
  <string>(senderImagePath == "/usr/libexec/syspolicyd") &amp;&amp; ((formatString BEGINSWITH "GK") || (formatString LIKE "Gatekeeper"))</string>
  <string></string>
</array>
PlaintextLogCollectionPaths

Sammelt und überwacht fortlaufend einzeilige Klartext-Protokolldateien. Beispiel: /var/log/system.log oder /var/log/install.log. Ein Compliance Reporter Protokollereignis wird für jede Zeile in der angegebenen Protokolldatei sowie für alle Daten, die nach der ersten Sammlung hinzugefügt werden, erstellt. Existiert die angegebene Datei nicht, beginnt Compliance Reporter erst mit der Protokollierung des Dateiinhalts, nachdem diese erscheint. Jeder Dateipfad ist gültig und muss beim Start von Compliance Reporter noch nicht vorhanden sein, um korrekt zu funktionieren.

<key>PlaintextLogCollectionPaths</key>
<array>
    <string>/var/log/jamf.log</string>
</array>

DisableFileMonitoringActivities

Deaktiviert die Dateiüberwachung durch Compliance Reporter. Diese Einstellung wird nur für Umgebungen empfohlen, die mehr als eine Lösung für Endpunktsicherheit bzw. ein Dienstprogramm verwenden, das eine vergleichbare Prüfung auf Mac Computern durchführt. Dieser Einstellungsschlüssel ist standardmäßig auf false festgelegt.

<key>DisableFileMonitoringActivities</key>
<false/> 

Aktivieren vertraulicher Daten in der Protokollsammlung

Um in Protokollen vertrauliche Daten wie Benutzernamen und IP-Adressen zu anzuzeigen, müssen Sie zuerst mit Jamf Pro ein Konfigurationsprofil signieren und bereitstellen. Jamf Pro ist eine Enterprise-MDM-Lösung, mit der Administratoren Einstellungen für Compliance Reporter konfigurieren und Compliance Reporter auf Zielcomputern bereitstellen.

Laden Sie das Konfigurationsprofil zum Aktivieren von privaten Daten herunter und führen Sie den folgenden Befehl in Terminal aus: 
/usr/bin/security cms -S -Z "$SIGNING_CERTIFICATE" -i "$UNSIGNED_PROFILE_PATH" -o "$SIGNED_PROFILE_PATH"

Dies ist ein Beispiel für ein Konfigurationsprofil, das konfiguriert wurde, um vertrauliche Daten anzuzeigen:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadDisplayName</key>
                <string>ManagedClient logging</string>
                <key>PayloadEnabled</key>
                <true />
                <key>PayloadIdentifier</key>
                <string>com.apple.logging.ManagedClient.1</string>
                <key>PayloadType</key>
                <string>com.apple.system.logging</string>
                <key>PayloadUUID</key>
                <string>ED5DE307-A5FC-434F-AD88-187677F02222</string>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>System</key>
                <dict>
                    <key>Enable-Private-Data</key>
                    <true />
                </dict>
            </dict>
        </array>
        <key>PayloadDescription</key>
        <string>Enable Unified Log Private Data logging</string>
        <key>PayloadDisplayName</key>
        <string>Enable Unified Log Private Data</string>
        <key>PayloadIdentifier</key>
        <string>C510208B-AD6E-4121-A945-E397B61CACCF</string>
        <key>PayloadRemovalDisallowed</key>
        <false />
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadUUID</key>
        <string>D30C25BD-E0C1-44C8-830A-964F27DAD4BA</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
    </dict>
</plist>
Compliance Reporter protokolliert jetzt vertrauliche Daten. Wenn Sie diesen Befehl in Terminal ausführen, sollten keine <private>-Einträge angezeigt werden: 
log stream --predicate '(subsystem == "com.apple.AccountPolicy")'