Journalisation à distance avec le protocole TLS

Cette référence contient toutes les préférences disponibles pour la journalisation à distance avec le protocole TLS.

Génération de certificats de journalisation des terminaux à distance pour Compliance Reporter

Pour consigner les données d’un terminal à distance, vous avez besoin d’un certificat qui vérifie que le serveur reçoit bien les journaux. Une bonne pratique consiste à définir manuellement et dans son intégralité la chaîne de certificats à laquelle vous voulez que le client se connecte. Cette procédure s’applique uniquement à la configuration initiale. Après avoir validé les réglages, vous pouvez utiliser un profil de configuration dans Jamf Pro pour déployer les certificats sur les terminaux en production. Pour plus d’informations, référez-vous à la section Profils de configuration d’ordinateur du Guide de l’administrateur Jamf Pro.

  1. Dans Terminal, exécutez la commande suivante pour obtenir la sortie complète du fichier de certificat :
    echo -n | openssl s_client -showcerts -connect HOSTNAME:PORT
  2. Copiez le texte du certificat (y compris les lignes BEGIN CERTIFICATE et END CERTIFICATE) dans des fichiers .txt distincts. Par exemple :
    -----BEGIN CERTIFICATE-----
    MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
    MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
    ... (truncated for readability)
    -----END CERTIFICATE-----
  3. Renommez le fichier .txt en fichier .pem, puis double-cliquez pour l’importer dans le trousseau système.

    La sortie devrait ressembler à ce qui suit :

    $ ls -la certs.d
    server-leaf-cert.pem
    intermediate-ca.pem
    root-ca.pem
    $ cat server-leaf-cert.pem
    -----BEGIN CERTIFICATE-----
    MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
    MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
    ... (truncated for readability)
    -----END CERTIFICATE----- 

Clés de préférence générales de la journalisation à distance

Domaine
com.jamf.compliancereporter

Pour activer la journalisation à distance, vous devez configurer les clés de préférence générales suivantes en plus de celles spécifiques à votre solution SIEM.

CléDescription
LogRemoteEndpointEnabled

Active la transmission réseau des données de journaux.

<key>LogRemoteEndpointEnabled</key>
<true/>
LogRemoteEndpointURL

URL à laquelle sont envoyées les données de journaux. S’applique à tous les types de journalisation à distance. Si vous utilisez Splunk, ajoutez l’URL avec /services/collector/raw. Si vous utilisez le protocole TLS syslog, ajoutez l’URL en préfixe avec « tls:// ».

<key>LogRemoteEndpointURL</key>
<string>https://serveur.adresse.com:9093</string>
LogRemoteEndpointType
Type de serveur d’agrégation des journaux à distance Utilisez l’un des types suivants en fonction de votre serveur d’agrégation :
  • Splunk : "Splunk"

  • Apache Kafka : "Kafka"

  • TLS : "TLS"

  • Terminaux REST : "REST"

  • TLS syslog : "Syslog5424" ou "syslog3164"

  • Amazon Kinesis : "AWSKinesis"

<key>LogRemoteEndpointType</key>
<string>Nom du serveur</string>

Clés de préférence de la journalisation à distance avec le protocole TLS syslog et le port TLS en texte brut

Domaine
com.jamf.compliancereporter

Les clés de préférence utilisant le protocole TLS syslog et TLS en texte brut vous permettent de configurer l’interface de journalisation à distance TLS en texte brut de Compliance Reporter.

CléDescription
LogRemoteEndpointTLS

(Obligatoire) Dictionnaire des préférences TLS

<key>LogRemoteEndpointTLS</key>
<dict></dict>
TLSServerCertificate

(Obligatoire) Certificat TLS public et noms communs des chaînes pour vérifier le serveur à distance. La recherche des certificats porte uniquement sur le trousseau système. Pour plus d’informations sur les conditions de sécurité requises des certificats TLS, consultez le site Configuration requise pour les certificats de confiance dans iOS 13 et macOS 10.15 du site web de l’assistance Apple.

<key>TLSServerCertificate</key>
  <array>
    <string>nom_serveur.entreprise.com</string>
    <string>Let’s Encrypt Authority X3</string>
    <string>DST Root CA X3</string>
  </array>