Registro remoto del recopilador de eventos HTTP de Splunk

Esta referencia contiene todas las preferencias disponibles para el registro remoto del recopilador de eventos HTTP de Splunk.

Generación de certificados de registro de terminales remotas para Compliance Reporter

Si quieres registrar datos de terminales remotas, necesitas un certificado para comprobar que el servidor recibe registros. Se recomienda definir manualmente la cadena de certificados completa a la que quieres que se conecte el cliente. Este proceso solo se aplica a la configuración inicial. Después de validar los ajustes, puedes usar un perfil de configuración en Jamf Pro para implementar certificados en terminales en producción. Si quieres más información, consulta Perfiles de configuración de ordenadores en la Guía del administrador de Jamf Pro.

  1. En Terminal, ejecuta lo siguiente para obtener la salida completa al archivo de certificado:
    echo -n | openssl s_client -showcerts -connect HOSTNAME:PORT
  2. Copia el texto del certificado, incluidas las líneas BEGIN CERTIFICATE y END CERTIFICATE para separar los archivos .txt. Por ejemplo:
    -----BEGIN CERTIFICATE-----
    MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
    MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
    ... (truncated for readability)
    -----END CERTIFICATE-----
  3. Renombra el archivo .txt como .pem y haz doble clic para importar el archivo en el llavero del sistema.

    La salida será parecida a lo siguiente:

    $ ls -la certs.d
    server-leaf-cert.pem
    intermediate-ca.pem
    root-ca.pem
    $ cat server-leaf-cert.pem
    -----BEGIN CERTIFICATE-----
    MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
    MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
    ... (truncated for readability)
    -----END CERTIFICATE----- 

Claves de preferencias generales de registro remoto

Dominio
com.jamf.compliancereporter

Para activar el registro remoto, debes configurar las siguientes claves de preferencias generales además de las claves de preferencias específicas de tu SIEM.

ClaveDescripción
LogRemoteEndpointEnabled

Activa la transmisión de red de los datos del registro.

<key>LogRemoteEndpointEnabled</key>
<true/>
LogRemoteEndpointURL

URL a la que se envían los datos del registro. Se aplica a todos los tipos de registro remoto. Si usas Splunk, añade a la URL el sufijo /services/collector/raw. Si usas TLS para syslog, añade a la URL el prefijo «tls://».

<key>LogRemoteEndpointURL</key>
<string>https://server.address.com:9093</string>
LogRemoteEndpointType
Tipo de servidor de agregación de registros remotos. Usa una de estas opciones en función del servidor de agregación que utilices:
  • Splunk: «Splunk»

  • Apache Kafka: «Kafka»

  • TLS: «TLS»

  • Terminal REST: «REST»

  • TLS para syslog: «Syslog5424» o «syslog3164»

  • Amazon Kinesis: «AWSKinesis»

<key>LogRemoteEndpointType</key>
<string>Nombre de servidor</string>

Claves de preferencias de registro de terminales remotas del recopilador de eventos HTTP de Splunk

Dominio
com.jamf.compliancereporter
ClaveDescripción
LogRemoteEndpointREST

(Obligatorio) Diccionario para las preferencias del recopilador de eventos HTTP de Splunk.

<key>LogRemoteEndpointREST</key>
<dict></dict>
PublicKeyHash

(Obligatorio) El hash de clave para agentes de escucha de API.

<key>PublicKeyHash</key>
  <string>(HTTP_Event_Collector_Token_Value)</string>