Collecte des journaux
Cette section contient toutes les préférences disponibles à la collecte des journaux dans Compliance Reporter.
Clés de préférence de collecte de journaux
- Domaine
com.jamf.compliancereporter
Clé | Description |
---|---|
UnifiedLogPredicates | Collecte les journaux à partir du niveau par défaut et du niveau d’information des journaux unifiés. Chaque chaîne définit un prédicat de recherche qui détermine les événements des journaux unifiés qui seront collectés et transmis à la solution SIEM. Au moment de définir les prédicats de recherche, retenez les points suivants :
Remarque : Dans macOS 10.14 ou version ultérieure, les journaux sont transmis en temps réel. Dans macOS 10.13 ou version antérieure, les journaux unifiés sont collectés toutes les heures.
|
PlaintextLogCollectionPaths | Collecte et surveille en continu les fichiers journaux en texte brut comportant une seule ligne. Par exemple :
|
| Désactive la surveillance des fichiers par Compliance Reporter. Ce réglage est recommandé uniquement dans des environnements qui possèdent plusieurs solutions ou utilitaires de sécurité des terminaux effectuant une analyse du même type sur les ordinateurs Mac. Par défaut, cette clé de réglage est définie sur
|
Activation des données privées dans la collecte des journaux
Pour afficher les données privées (par exemple, les noms d’utilisateur et adresses IP) dans les journaux, vous devez commencer par signer et déployer un profil de configuration avec Jamf Pro. Jamf Pro est un logiciel de gestion de la mobilité en entreprise, utilisé par les administrateurs pour configurer les réglages de Compliance Reporter et déployer Compliance Reporter sur les ordinateurs cible.
/usr/bin/security cms -S -Z "$SIGNING_CERTIFICATE" -i "$UNSIGNED_PROFILE_PATH" -o "$SIGNED_PROFILE_PATH"
Voici un exemple de profil de configuration configuré pour afficher les données privées :
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>PayloadContent</key>
<array>
<dict>
<key>PayloadDisplayName</key>
<string>ManagedClient logging</string>
<key>PayloadEnabled</key>
<true />
<key>PayloadIdentifier</key>
<string>com.apple.logging.ManagedClient.1</string>
<key>PayloadType</key>
<string>com.apple.system.logging</string>
<key>PayloadUUID</key>
<string>ED5DE307-A5FC-434F-AD88-187677F02222</string>
<key>PayloadVersion</key>
<integer>1</integer>
<key>System</key>
<dict>
<key>Enable-Private-Data</key>
<true />
</dict>
</dict>
</array>
<key>PayloadDescription</key>
<string>Enable Unified Log Private Data logging</string>
<key>PayloadDisplayName</key>
<string>Enable Unified Log Private Data</string>
<key>PayloadIdentifier</key>
<string>C510208B-AD6E-4121-A945-E397B61CACCF</string>
<key>PayloadRemovalDisallowed</key>
<false />
<key>PayloadScope</key>
<string>System</string>
<key>PayloadType</key>
<string>Configuration</string>
<key>PayloadUUID</key>
<string>D30C25BD-E0C1-44C8-830A-964F27DAD4BA</string>
<key>PayloadVersion</key>
<integer>1</integer>
</dict>
</plist>
<private>
ne devrait s’afficher : log stream --predicate '(subsystem == "com.apple.AccountPolicy")'