REST 端點遠端記錄

此參考包含 REST 端點遠端記錄的所有可用偏好設定。

產生 Compliance Reporter 的遠端端點記錄憑證

若要記錄遠端端點資料,則需要憑證來確認接收記錄檔的伺服器。最佳做法是手動定義您希望用戶端連線到的完整憑證鏈。此程序僅用於初始配置。驗證設定後,您可以在 Jamf Pro 中使用設定描述檔,將憑證部署到生產中的端點。有關更多資訊,請參閱 Jamf Pro 管理員指南中的 電腦設定描述檔

  1. 在終端機中,執行下列操作以獲取憑證檔的完整輸出:
    echo -n | openssl s_client -showcerts -connect HOSTNAME:PORT
  2. 將憑證文字,包括 BEGIN CERTIFICATE 和 END CERTIFICATE 行,複製到單獨的 .txt 檔案。例如:
    -----BEGIN CERTIFICATE-----
MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
... (truncated for readability)
-----END CERTIFICATE-----
  3. .txt 檔案重新命名為 .pem 檔案,然後連按兩下將檔案匯入系統密鑰鏈。

    輸出應類似於下列內容:

    $ ls -la certs.d
server-leaf-cert.pem
intermediate-ca.pem
root-ca.pem
$ cat server-leaf-cert.pem
-----BEGIN CERTIFICATE-----
MIIFazCCBFOgAwIBAgISBIuX8OD2k1mBKORs6oCdBeaFMA0GCSqGSIb3DQEBCwUA
MEoxCzAJBgNVBAYTAlVTMRYwFAYDVQQKEw1MZXQncyBFbmNyeXB0MSMwIQYDVQQD
... (truncated for readability)
-----END CERTIFICATE----- 

常規遠端記錄偏好設定鍵

網域
com.jamf.compliancereporter

要啟用遠端記錄,除了您的 SIEM 特有的偏好設定鍵以外,您還必須配置下列常規偏好設定鍵。

密鑰說明
LogRemoteEndpointEnabled

啟用記錄檔資料的網路傳輸。

<key>LogRemoteEndpointEnabled</key>
<true/>
LogRemoteEndpointURL

傳送記錄檔資料的 URL。適用於所有遠端記錄類型。如果您使用的是 Splunk,請在 URL 後附加 /services/collector/raw。如果您使用的是 syslog TLS,請在 URL 前添加「tls://」。

<key>LogRemoteEndpointURL</key> <string>https://server.address.com:9093</string>
LogRemoteEndpointType
遠端記錄檔彙總伺服器類型。根據您使用的彙總伺服器來使用下列選項之一:

  • Splunk:「Splunk」

  • Apache Kafka:「Kafka」

  • TLS:「TLS」

  • REST 端點:「REST」

  • Syslog TLS:「Syslog5424」或「syslog3164」

  • Amazon Kinesis:「AWSKinesis」

<key>LogRemoteEndpointType</key> <string>Server Name</string>

REST 端點遠端記錄偏好設定鍵

網域
com.jamf.compliancereporter

這些偏好設定鍵允許您在 Compliance Reporter 中配置 REST 端點遠端記錄。

密鑰說明
LogRemoteEndpointREST

(必需) 具有 REST 端點偏好設定的字典。

<key>LogRemoteEndpointREST</key>
<dict></dict>
PublicKeyHash

(必需) API 監聽程式的金鑰雜湊

<key>PublicKeyHash</key> <string>e838SOLK9Yu+brDTxM4s0HatE2UdoSBtNDU=</string>