Journalisation à distance du collecteur d’événements HTTP Splunk

Cette référence contient toutes les préférences disponibles pour la journalisation à distance du collecteur d’événements HTTP Splunk.

Génération de certificats de journalisation des terminaux à distance pour Compliance Reporter

Pour consigner les données d’un terminal à distance, vous avez besoin d’un certificat qui vérifie que le serveur reçoit bien les journaux. Une bonne pratique consiste à définir manuellement et dans son intégralité la chaîne de certificats à laquelle vous voulez que le client se connecte. Cette procédure s’applique uniquement à la configuration initiale. Après avoir validé les réglages, vous pouvez utiliser un profil de configuration dans Jamf Pro pour déployer les certificats sur les terminaux en production. Pour plus d’informations, référez-vous à la section Profils de configuration d’ordinateur du Guide de l’administrateur Jamf Pro.

  1. Dans Terminal, exécutez la commande suivante pour obtenir la sortie complète du fichier de certificat :
    echo -n | openssl s_client -showcerts -connect HOSTNAME:PORT
  2. Copiez le texte du certificat (y compris les lignes BEGIN CERTIFICATE et END CERTIFICATE) dans des fichiers .txt distincts. Par exemple :
    -----BEGIN CERTIFICATE-----
    MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
    MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
    ... (truncated for readability)
    -----END CERTIFICATE-----
  3. Renommez le fichier .txt en fichier .pem, puis double-cliquez pour l’importer dans le trousseau système.

    La sortie devrait ressembler à ce qui suit :

    $ ls -la certs.d
    server-leaf-cert.pem
    intermediate-ca.pem
    root-ca.pem
    $ cat server-leaf-cert.pem
    -----BEGIN CERTIFICATE-----
    MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
    MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
    ... (truncated for readability)
    -----END CERTIFICATE----- 

Clés de préférence générales de la journalisation à distance

Domaine
com.jamf.compliancereporter

Pour activer la journalisation à distance, vous devez configurer les clés de préférence générales suivantes en plus de celles spécifiques à votre solution SIEM.

CléDescription
LogRemoteEndpointEnabled

Active la transmission réseau des données de journaux.

<key>LogRemoteEndpointEnabled</key>
<true/>
LogRemoteEndpointURL

URL à laquelle sont envoyées les données de journaux. S’applique à tous les types de journalisation à distance. Si vous utilisez Splunk, ajoutez l’URL avec /services/collector/raw. Si vous utilisez le protocole TLS syslog, ajoutez l’URL en préfixe avec « tls:// ».

<key>LogRemoteEndpointURL</key>
<string>https://serveur.adresse.com:9093</string>
LogRemoteEndpointType
Type de serveur d’agrégation des journaux à distance Utilisez l’un des types suivants en fonction de votre serveur d’agrégation :
  • Splunk : "Splunk"

  • Apache Kafka : "Kafka"

  • TLS : "TLS"

  • Terminaux REST : "REST"

  • TLS syslog : "Syslog5424" ou "syslog3164"

  • Amazon Kinesis : "AWSKinesis"

<key>LogRemoteEndpointType</key>
<string>Nom du serveur</string>

Clés de préférence de la journalisation des terminaux à distance du collecteur d’événements HTTP plunk

Domaine
com.jamf.compliancereporter
CléDescription
LogRemoteEndpointREST

(Obligatoire) Dictionnaire des préférences du collecteur d’événements HTTP Splunk

<key>LogRemoteEndpointREST</key>
<dict></dict>
PublicKeyHash

(Obligatoire) Clé de hachage des récepteurs API.

<key>PublicKeyHash</key>
  <string>(HTTP_Event_Collector_Token_Value)</string>