TLS Remote Logging

Diese Ressource enthält alle verfügbaren Einstellungen für das TLS Remote Logging.

Erstellen der Zertifikate für Remote Logging Endpunkte für Compliance Reporter

Wenn Sie Daten von entfernten Endpunkten protokollieren möchten, benötigen Sie ein Zertifikat, um den Server zu verifizieren, der die Protokolle empfängt. Es gilt als Best Practice, die gesamte Zertifikatskette, mit der sich der Client verbinden soll, manuell zu definieren. Dieser Prozess dient nur für die ursprüngliche Bereitstellung. Nachdem die Einstellungen validiert wurden, können Sie Konfigurationsprofile in Jamf Pro nutzen, um Zertifikate zu Endpunkten in Production bereitzustellen. Weitere Informationen finden Sie unter Konfigurationsprofile für Computer im Jamf Pro Leitfaden für Administratoren.

  1. Führen Sie in Terminal den folgenden Befehl aus, um die vollständige Ausgabe für die Zertifikatsdatei zu erhalten:
    echo -n | openssl s_client -showcerts -connect HOSTNAME:PORT
  2. Kopieren Sie den Zertifikatstext inklusive der Zeilen „BEGIN CERTIFICATE“ und „END CERTIFICATE“, um die .txt-Dateien zu trennen. Beispiel:
    -----BEGIN CERTIFICATE-----
MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
... (truncated for readability)
-----END CERTIFICATE-----
  3. Nennen Sie die .txt-Datei in eine .pem-Datei um und doppelklicken Sie darauf, um die Datei in den Systemschlüsselbund zu importieren.

    Die Ausgabe sollte diesem Beispiel ähneln:

    $ ls -la certs.d
server-leaf-cert.pem
intermediate-ca.pem
root-ca.pem
$ cat server-leaf-cert.pem
-----BEGIN CERTIFICATE-----
MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
... (truncated for readability)
-----END CERTIFICATE----- 

Allgemeine Einstellungsschlüssel für das Remote Logging

Domäne
com.jamf.compliancereporter

Um Remote Logging zu aktivieren, müssen Sie zusätzlich zu den für Ihre SIEM-Lösung spezifischen Einstellungsschlüsseln die folgenden allgemeinen Einstellungsschlüssel konfigurieren.

SchlüsselBeschreibung
LogRemoteEndpointEnabled

Aktiviert die Netzwerkübertragung von Protokolldaten.

<key>LogRemoteEndpointEnabled</key>
<true/>
LogRemoteEndpointURL

URL, an die die Protokolldaten gesendet werden. Gilt für alle Arten von Remote Logging. Wenn Sie Splunk verwenden, hängen Sie der URL /services/collector/raw an. Wenn Sie Syslog TLS verwenden, stellen Sie der URL „tls://“ voran.

<key>LogRemoteEndpointURL</key>
<string>https://server.address.com:9093</string>
LogRemoteEndpointType
Typ für die Remote Logging Aggregationsserver. Verwenden Sie eine der folgenden Optionen, je nachdem, welche Art von Aggregationsserver Sie verwenden:

  • Splunk: "Splunk"

  • Apache Kafka: "Kafka"

  • TLS: "TLS"

  • REST Endpunkt: "REST"

  • Syslog TLS: "Syslog5424" oder "syslog3164"

  • Amazon Kinesis: "AWSKinesis"

<key>LogRemoteEndpointType</key>
<string>Server Name</string>

Einstellungsschlüssel für das Raw TLS Port und Syslog TLS Remote Logging

Domäne
com.jamf.compliancereporter

Die Raw TLS und Syslog TLS Einstellungsschlüssel ermöglichen es Ihnen, die Compliance ReporterSchnittstelle für das Raw TLS Remote Logging zu konfigurieren.

SchlüsselBeschreibung
LogRemoteEndpointTLS

(Erforderlich) Verzeichnis für die TLS-Einstellungen

<key>LogRemoteEndpointTLS</key>
<dict></dict>
TLSServerCertificate

(Erforderlich) Öffentliches TLS-Zertifikat und allgemeine Schlüsselbundnamen zum Identifizieren des Remote-Servers. Nur der Systemschlüsselbund wird nach Zertifikaten durchsucht. Weitere Informationen zu den Sicherheitsanforderungen für TLS-Zertifikate finden Sie unter Anforderungen an vertrauenswürdige Zertifikate in iOS 13 und macOS 10.15 auf der Apple Support Website.

<key>TLSServerCertificate</key>
  <array>
    <string>server_name.company.com</string>
    <string>Let's Encrypt Authority X3</string>
    <string>DST Root CA X3</string>
  </array>