Recopilación de registros

Aquí se muestran todas las preferencias disponibles para la recopilación de registros en Compliance Reporter.

Claves de preferencias de recopilación de registros

Dominio
com.jamf.compliancereporter
ClaveDescripción
UnifiedLogPredicates

Recopila registros del nivel por omisión y de información de los registros unificados. Cada cadena define un predicado de búsqueda que determina qué eventos de registros unificados se recopilarán y transmitirán al SIEM. Al definir predicados de búsqueda, ten en cuenta lo siguiente:

  • Puedes definir varias búsquedas en una cadena. Se recomienda definir solo un máximo de cinco búsquedas por cadena, ya que superar este límite puede degradar el rendimiento.

  • Los caracteres especiales deben seguir el formato de nombre de entidad HTML.

Nota:

En macOS 10.14 o posterior, los registros se transmiten en tiempo real. En macOS 10.13 o anterior, los registros unificados se recopilan cada hora.

<key>UnifiedLogPredicates</key>
<array>
  <string>(senderImagePath == "/usr/libexec/syspolicyd") &amp;&amp; ((formatString BEGINSWITH "GK") || (formatString LIKE "Gatekeeper"))</string>
  <string></string>
</array>
PlaintextLogCollectionPaths

Recopila y monitoriza continuamente archivos de registros de texto sin formato de línea única. Por ejemplo: /var/log/system.log o /var/log/install.log. Se creará un registro de eventos de Compliance Reporter por cada línea del archivo de registro especificado, así como los datos adjuntados después de la recopilación inicial. Si el archivo especificado no existe, Compliance Reporter solo empezará a registrar el contenido del archivo cuando aparezca el archivo. Cualquier ruta de archivo es válida y no es necesario que esté presente al iniciar Compliance Reporter para que funcione correctamente.

<key>PlaintextLogCollectionPaths</key>
<array>
    <string>/var/log/jamf.log</string>
</array>

DisableFileMonitoringActivities

Desactiva las actividades de monitorización de archivos de Compliance Reporter. Este ajuste solo se recomienda en entornos que tienen más de una utilidad o solución de seguridad de terminal que hace un barrido similar en ordenadores Mac. La clave de este ajuste se define con el valor false por omisión.

<key>DisableFileMonitoringActivities</key>
<false/> 

Activación de datos privados en la recopilación de registros

Para mostrar datos privados —como nombres de usuario y direcciones IP— en los registros, antes debes firmar e implementar un perfil de configuración con Jamf Pro. Jamf Pro es un software de gestión de movilidad empresarial que los administradores utilizan para configurar ajustes de Compliance Reporter e implementar Compliance Reporter en ordenadores de destino.

Descarga el perfil de configuración de activación de datos privados y ejecuta el siguiente comando en Terminal: 
/usr/bin/security cms -S -Z "$SIGNING_CERTIFICATE" -i "$UNSIGNED_PROFILE_PATH" -o "$SIGNED_PROFILE_PATH"

Aquí tenemos un ejemplo de un perfil de configuración configurado para mostrar datos privados:

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadDisplayName</key>
                <string>ManagedClient logging</string>
                <key>PayloadEnabled</key>
                <true />
                <key>PayloadIdentifier</key>
                <string>com.apple.logging.ManagedClient.1</string>
                <key>PayloadType</key>
                <string>com.apple.system.logging</string>
                <key>PayloadUUID</key>
                <string>ED5DE307-A5FC-434F-AD88-187677F02222</string>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>System</key>
                <dict>
                    <key>Enable-Private-Data</key>
                    <true />
                </dict>
            </dict>
        </array>
        <key>PayloadDescription</key>
        <string>Enable Unified Log Private Data logging</string>
        <key>PayloadDisplayName</key>
        <string>Enable Unified Log Private Data</string>
        <key>PayloadIdentifier</key>
        <string>C510208B-AD6E-4121-A945-E397B61CACCF</string>
        <key>PayloadRemovalDisallowed</key>
        <false />
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadUUID</key>
        <string>D30C25BD-E0C1-44C8-830A-964F27DAD4BA</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
    </dict>
</plist>
Compliance Reporter ahora registrará datos privados. Si ejecutas el siguiente comando en Terminal, no se mostrarán entradas <private>: 
log stream --predicate '(subsystem == "com.apple.AccountPolicy")'