Splunk HTTP Event Collector Remote Logging

Diese Referenz enthält alle verfügbaren Einstellungen für das Splunk HTTP Event Collector Remote Logging.

Erstellen der Zertifikate für Remote Logging Endpunkte für Compliance Reporter

Wenn Sie Daten von entfernten Endpunkten protokollieren möchten, benötigen Sie ein Zertifikat, um den Server zu verifizieren, der die Protokolle empfängt. Es gilt als Best Practice, die gesamte Zertifikatskette, mit der sich der Client verbinden soll, manuell zu definieren. Dieser Prozess dient nur für die ursprüngliche Bereitstellung. Nachdem die Einstellungen validiert wurden, können Sie Konfigurationsprofile in Jamf Pro nutzen, um Zertifikate zu Endpunkten in Production bereitzustellen. Weitere Informationen finden Sie unter Konfigurationsprofile für Computer im Jamf Pro Leitfaden für Administratoren.

  1. Führen Sie in Terminal den folgenden Befehl aus, um die vollständige Ausgabe für die Zertifikatsdatei zu erhalten:
    echo -n | openssl s_client -showcerts -connect HOSTNAME:PORT
  2. Kopieren Sie den Zertifikatstext inklusive der Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“, um die .txt-Dateien zu trennen. Beispiel:
    -----BEGIN CERTIFICATE-----
MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
... (truncated for readability)
-----END CERTIFICATE-----
  3. Nennen Sie die .txt-Datei in eine .pem-Datei um und doppelklicken Sie darauf, um die Datei in den Systemschlüsselbund zu importieren.

    Die Ausgabe sollte diesem Beispiel ähneln:

    $ ls -la certs.d
server-leaf-cert.pem
intermediate-ca.pem
root-ca.pem
$ cat server-leaf-cert.pem
-----BEGIN CERTIFICATE-----
MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
... (truncated for readability)
-----END CERTIFICATE----- 

Allgemeine Einstellungsschlüssel für das Remote Logging

Domäne
com.jamf.compliancereporter

Um Remote Logging zu aktivieren, müssen Sie zusätzlich zu den für Ihre SIEM-Lösung spezifischen Einstellungsschlüsseln die folgenden allgemeinen Einstellungsschlüssel konfigurieren.

SchlüsselBeschreibung
LogRemoteEndpointEnabled

Aktiviert die Netzwerkübertragung von Protokolldaten.

<key>LogRemoteEndpointEnabled</key>
<true/>
LogRemoteEndpointURL

URL, an die die Protokolldaten gesendet werden. Gilt für alle Arten von Remote Logging. Wenn Sie Splunk verwenden, hängen Sie der URL /services/collector/raw an. Wenn Sie Syslog TLS verwenden, stellen Sie der URL „tls://“ voran.

<key>LogRemoteEndpointURL</key>
<string>https://server.address.com:9093</string>
LogRemoteEndpointType
Typ für die Remote Logging Aggregationsserver. Verwenden Sie eine der folgenden Optionen, je nachdem, welche Art von Aggregationsserver Sie verwenden:

  • Splunk: "Splunk"

  • Apache Kafka: "Kafka"

  • TLS: "TLS"

  • REST Endpunkt: "REST"

  • Syslog TLS: "Syslog5424" oder "syslog3164"

  • Amazon Kinesis: "AWSKinesis"

<key>LogRemoteEndpointType</key>
<string>Server Name</string>

Einstellungsschlüssel für das Splunk HTTP Event Collector Remote Logging

Domäne
com.jamf.compliancereporter
SchlüsselBeschreibung
LogRemoteEndpointREST

(Erforderlich) Verzeichnis für die Splunk HTTP Event Collector Einstellungen.

<key>LogRemoteEndpointREST</key>
<dict></dict>
PublicKeyHash

(Erforderlich) Der Key Hash für API-Listener.

<key>PublicKeyHash</key>
  <string>(HTTP_Event_Collector_Token_Value)</string>