Amazon Kinesis 遠端記錄

此參考包含 Amazon Kinesis 遠端記錄的所有可用偏好設定。

產生 Compliance Reporter 的遠端端點記錄憑證

若要記錄遠端端點資料,則需要憑證來確認接收記錄檔的伺服器。最佳做法是手動定義您希望用戶端連線到的完整憑證鏈。此程序僅用於初始配置。驗證設定後,您可以在 Jamf Pro 中使用設定描述檔,將憑證部署到生產中的端點。有關更多資訊,請參閱 Jamf Pro 管理員指南中的 電腦設定描述檔

  1. 在終端機中,執行下列操作以獲取憑證檔的完整輸出:
    echo -n | openssl s_client -showcerts -connect HOSTNAME:PORT
  2. 將憑證文字,包括 BEGIN CERTIFICATE 和 END CERTIFICATE 行,複製到單獨的 .txt 檔案。例如:
    -----BEGIN CERTIFICATE-----
MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
... (truncated for readability)
-----END CERTIFICATE-----
  3. .txt 檔案重新命名為 .pem 檔案,然後連按兩下將檔案匯入系統密鑰鏈。

    輸出應類似於下列內容:

    $ ls -la certs.d
server-leaf-cert.pem
intermediate-ca.pem
root-ca.pem
$ cat server-leaf-cert.pem
-----BEGIN CERTIFICATE-----
MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
... (truncated for readability)
-----END CERTIFICATE----- 

常規遠端記錄偏好設定鍵

網域
com.jamf.compliancereporter

要啟用遠端記錄,除了您的 SIEM 特有的偏好設定鍵以外,您還必須配置下列常規偏好設定鍵。

密鑰說明
LogRemoteEndpointEnabled

啟用記錄檔資料的網路傳輸。

<key>LogRemoteEndpointEnabled</key>
<true/>
LogRemoteEndpointURL

傳送記錄檔資料的 URL。適用於所有遠端記錄類型。如果您使用的是 Splunk,請在 URL 後附加 /services/collector/raw。如果您使用的是 syslog TLS,請在 URL 前添加「tls://」。

<key>LogRemoteEndpointURL</key> <string>https://server.address.com:9093</string>
LogRemoteEndpointType
遠端記錄檔彙總伺服器類型。根據您使用的彙總伺服器來使用下列選項之一:

  • Splunk:「Splunk」

  • Apache Kafka:「Kafka」

  • TLS:「TLS」

  • REST 端點:「REST」

  • Syslog TLS:「Syslog5424」或「syslog3164」

  • Amazon Kinesis:「AWSKinesis」

<key>LogRemoteEndpointType</key> <string>Server Name</string>

Amazon Kinesis 遠端記錄偏好設定鍵

網域
com.jamf.compliancereporter
密鑰說明
LogRemoteEndpointAWSKinesis

(必需) Amazon Kinesis 偏好設定鍵的字典

<key>LogRemoteEndpointAWSKinesis</key>
<dict></dict>
AccessKeyId

(必需) 用於驗證的 Amazon Web Services (AWS) API 金鑰

<key>AccessKeyId</key>
<string>EJNPQUNWGIJWHEPK70DE</string>
SecretKey

(必需) 用作驗證密碼的 AWS 秘密 API 金鑰

<key>SecretKey</key>
<string>vOQd2pqNMyNR3CetPbrEhzfT...</string>
StreamName

(必需) Amazon Kinesis 串流的名稱。不可以是 ARN 或 URL。

<key>StreamName</key>
<string>complianceReporter</string>
Region

(必需) AWS 地區代碼。有關 AWS 地區代碼的清單,請參閱 Amazon Elastic Compute Cloud 使用者指南中的 Regions and Zones (地區和區域)。

<key>Region</key>
<string>us-east-1</string>