Collecte des journaux

Cette section contient toutes les préférences disponibles à la collecte des journaux dans Compliance Reporter.

Clés de préférence de collecte de journaux

Domaine
com.jamf.compliancereporter
CléDescription
UnifiedLogPredicates

Collecte les journaux à partir du niveau par défaut et du niveau d’information des journaux unifiés. Chaque chaîne définit un prédicat de recherche qui détermine les événements des journaux unifiés qui seront collectés et transmis à la solution SIEM. Au moment de définir les prédicats de recherche, retenez les points suivants :

  • Vous pouvez définir plusieurs recherches dans une chaîne. Nous vous recommandons de définir un maximum de cinq recherches par chaîne. Au-delà, cela peut dégrader les performances.

  • Les caractères spéciaux doivent être formatés sous la forme d’un nom d’entité HTML.

Remarque :

Dans macOS 10.14 ou version ultérieure, les journaux sont transmis en temps réel. Dans macOS 10.13 ou version antérieure, les journaux unifiés sont collectés toutes les heures.

<key>UnifiedLogPredicates</key>
<array>
  <string>(senderImagePath == "/usr/libexec/syspolicyd") &amp;&amp; ((formatString BEGINSWITH "GK") || (formatString LIKE "Gatekeeper"))</string>
  <string></string>
</array>
PlaintextLogCollectionPaths

Collecte et surveille en continu les fichiers journaux en texte brut comportant une seule ligne. Par exemple : /var/log/system.log ou /var/log/install.log. Un événement de journal Compliance Reporter sera créé pour chaque ligne dans le fichier journal spécifié ainsi que pour toutes les données ajoutées après la collecte initiale. Si le fichier spécifié n’existe pas, Compliance Reporter commencera la journalisation du contenu uniquement après son apparition. Les chemins de fichier valides n’ont pas besoin d’être présents au démarrage de Compliance Reporter pour garantir un fonctionnement comme prévu.

<key>PlaintextLogCollectionPaths</key>
<array>
    <string>/var/log/jamf.log</string>
</array>

DisableFileMonitoringActivities

Désactive la surveillance des fichiers par Compliance Reporter. Ce réglage est recommandé uniquement dans des environnements qui possèdent plusieurs solutions ou utilitaires de sécurité des terminaux effectuant une analyse du même type sur les ordinateurs Mac. Par défaut, cette clé de réglage est définie sur false.

<key>DisableFileMonitoringActivities</key>
<false/> 

Activation des données privées dans la collecte des journaux

Pour afficher les données privées (par exemple, les noms d’utilisateur et adresses IP) dans les journaux, vous devez commencer par signer et déployer un profil de configuration avec Jamf Pro. Jamf Pro est un logiciel de gestion de la mobilité en entreprise, utilisé par les administrateurs pour configurer les réglages de Compliance Reporter et déployer Compliance Reporter sur les ordinateurs cible.

Téléchargez le profil de configuration permettant d’activer les données privées, puis exécutez la commande suivante dans Terminal : 
/usr/bin/security cms -S -Z "$SIGNING_CERTIFICATE" -i "$UNSIGNED_PROFILE_PATH" -o "$SIGNED_PROFILE_PATH"

Voici un exemple de profil de configuration configuré pour afficher les données privées :

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadDisplayName</key>
                <string>ManagedClient logging</string>
                <key>PayloadEnabled</key>
                <true />
                <key>PayloadIdentifier</key>
                <string>com.apple.logging.ManagedClient.1</string>
                <key>PayloadType</key>
                <string>com.apple.system.logging</string>
                <key>PayloadUUID</key>
                <string>ED5DE307-A5FC-434F-AD88-187677F02222</string>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>System</key>
                <dict>
                    <key>Enable-Private-Data</key>
                    <true />
                </dict>
            </dict>
        </array>
        <key>PayloadDescription</key>
        <string>Enable Unified Log Private Data logging</string>
        <key>PayloadDisplayName</key>
        <string>Enable Unified Log Private Data</string>
        <key>PayloadIdentifier</key>
        <string>C510208B-AD6E-4121-A945-E397B61CACCF</string>
        <key>PayloadRemovalDisallowed</key>
        <false />
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadUUID</key>
        <string>D30C25BD-E0C1-44C8-830A-964F27DAD4BA</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
    </dict>
</plist>
Compliance Reporter consignera à présent les données privées. Si vous exécutez la commande suivante dans Terminal, aucune entrée <private> ne devrait s’afficher : 
log stream --predicate '(subsystem == "com.apple.AccountPolicy")'