ログ収集

このセクションには、Compliance Reporter (コンプライアンス報告者) のログ収集で使用可能なすべての環境設定が含まれています。

ログ収集の環境設定キー

ドメイン
com.jamf.compliancereporter
キー説明
UnifiedLogPredicates

デフォルトおよび情報レベルのユニファイドログからログを収集します。各文字列は、どのユニファイドログイベントを収集して SIEM に送信するかを決定する検索述語を定義します。検索述語を定義する際は、次のことに注意してください。

  • 1 つの文字列で複数の検索を定義できます。1 つの文字列につき、定義する検索は最大 5 つとすることを推奨します。6 つ以上の検索を定義すると、パフォーマンスの低下を引き起こす可能性があるためです。

  • 特殊文字は HTML のエンティティ名としてフォーマットする必要があります。

注:

macOS 10.14 以降では、ログはリアルタイムでストリーミングされます。macOS 10.13 以前では、ユニファイドログは 1 時間単位で収集されます。

<key>UnifiedLogPredicates</key>
<array>
  <string>(senderImagePath == "/usr/libexec/syspolicyd") &amp;&amp; ((formatString BEGINSWITH "GK") || (formatString LIKE "Gatekeeper"))</string>
  <string></string>
</array>
PlaintextLogCollectionPaths

単一行のプレーンテキストのログファイルを継続的に収集し、監視します。例: /var/log/system.log または /var/log/install.logCompliance Reporter (コンプライアンス報告者) のログイベントは、指定したログファイルの各行、および初回の収集後に追加されるデータに対して作成されます。指定したファイルが存在しない場合、Compliance Reporter (コンプライアンス報告者) はファイルが表示されてからファイルの内容のログ記録を開始します。どのファイルパスも有効であり、Compliance Reporter (コンプライアンス報告者) の起動時に存在しなくても意図した通りに動作します。

<key>PlaintextLogCollectionPaths</key>
<array>
    <string>/var/log/jamf.log</string>
</array>

DisableFileMonitoringActivities

Compliance Reporter によるファイル監視アクティビティを無効にします。この設定は、Mac コンピュータで類似のスキャンを行うエンドポイントセキュリティソリューションまたはユーティリティが複数ある環境でのみ推奨されます。この設定キーはデフォルトで false にセットされます。

<key>DisableFileMonitoringActivities</key>
<false/> 

ログ収集でプライベートデータを有効にする

ユーザ名や IP アドレスなどのプライベートデータをログに表示するには、最初に Jamf Pro を使用して署名した構成プロファイルを展開する必要があります。Jamf Pro は、管理者が Compliance Reporter (コンプライアンス報告者) の設定を構成し、Compliance Reporter (コンプライアンス報告者) をターゲットコンピュータへ展開するために使用するエンタープライズモビリティ管理ソフトウェアです。

プライベートデータを有効にする構成プロファイルをダウンロードし、Terminal (ターミナル) で以下のコマンドを実行します。 
/usr/bin/security cms -S -Z "$SIGNING_CERTIFICATE" -i "$UNSIGNED_PROFILE_PATH" -o "$SIGNED_PROFILE_PATH"

以下は、プライベートデータを表示するために構成される構成プロファイルの例です。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>PayloadContent</key>
        <array>
            <dict>
                <key>PayloadDisplayName</key>
                <string>ManagedClient logging</string>
                <key>PayloadEnabled</key>
                <true />
                <key>PayloadIdentifier</key>
                <string>com.apple.logging.ManagedClient.1</string>
                <key>PayloadType</key>
                <string>com.apple.system.logging</string>
                <key>PayloadUUID</key>
                <string>ED5DE307-A5FC-434F-AD88-187677F02222</string>
                <key>PayloadVersion</key>
                <integer>1</integer>
                <key>System</key>
                <dict>
                    <key>Enable-Private-Data</key>
                    <true />
                </dict>
            </dict>
        </array>
        <key>PayloadDescription</key>
        <string>Enable Unified Log Private Data logging</string>
        <key>PayloadDisplayName</key>
        <string>Enable Unified Log Private Data</string>
        <key>PayloadIdentifier</key>
        <string>C510208B-AD6E-4121-A945-E397B61CACCF</string>
        <key>PayloadRemovalDisallowed</key>
        <false />
        <key>PayloadScope</key>
        <string>System</string>
        <key>PayloadType</key>
        <string>Configuration</string>
        <key>PayloadUUID</key>
        <string>D30C25BD-E0C1-44C8-830A-964F27DAD4BA</string>
        <key>PayloadVersion</key>
        <integer>1</integer>
    </dict>
</plist>
これで、Compliance Reporter (コンプライアンス報告者) がプライベートデータをログ記録するようになります。Terminal (ターミナル) で以下のコマンドを実行する場合、<private> エントリは表示されません。 
log stream --predicate '(subsystem == "com.apple.AccountPolicy")'