Konfigurieren von syslog auf Ihrem Apple- Mac OS X

Konfigurieren Sie syslog auf Systemen, auf denen Apple- Mac OS X -Betriebssysteme ausgeführt werden, mithilfe eines Log-Stream-Skripts, um die MAC-Systemprotokolle an zu senden QRadar.

Vorgehensweise

Laden Sie die folgenden Dateien von IBM Fix Centralherunter, um den Fix 7.3-QRADAR-QRSCRIPT-logStream-1.0 zu implementieren. (https://www-945.ibm.com/support/fixcentral/swg/downloadFixes?parent=IBM%20Security&product=ibm/Other+software/IBM+Security+QRadar+SIEM&release=7.3.0&platform=Linux&function=fixId&fixids=7.3-QRADAR-QRSCRIPT-logStream-1.0&includeRequisites=1&includeSupersedes=0&downloadMethod=http)
- logStream. pl.tar.gz ( 2.88 KB)
- 7.3-QRADAR-QRSCRIPT-logStream.sha256 (41 Byte)
Wechseln Sie vom Terminal aus zu dem Ordner, in dem Sie die Datei logStream.pl ausgewählt haben, die Sie extrahiert haben.
Geben Sie den folgenden Befehl ein, um die Datei logStream.pl als ausführbare Datei zu definieren:
```
chmod +x logStream.pl
```
Erstellen Sie ein ausführbares Shell-Script mit der Erweiterung .sh mit der folgenden Namenskonvention:

<FILE_NAME>.sh

Fügen Sie der erstellten Datei den folgenden Befehl hinzu:

#!/bin/sh /Users/<PathToPerlScript>/logStream.pl -<Parameters1> <Value1> -<Parameters2> <Value2>

Der Pfad ist ein absoluter Pfad, der normalerweise bei /Users/...beginnt.

Sie können die folgenden Parameter für logStream.plverwenden:

Tabelle 1. logStream.pl Parameter
Parameter	Beschreibung
-H	Der Parameter -H definiert den Hostnamen oder die IP-Adresse für das Senden der Protokolle.
-p	Der Parameter -p definiert den Port auf dem fernen Host, an dem ein Syslog-Empfänger empfangsbereit ist. Wenn dieser Parameter nicht angegeben wird, verwendet das Script logStream.pl standardmäßig den TCP-Port 514 zum Senden von Ereignissen an QRadar.
-O	Der Parameter -O überschreibt den automatischen Hostnamen aus dem Betriebssystembefehl `/bin/hostname` .
-s	Der Standardwert für das syslog-Headerformat ist 5424 (RFC5424 -Zeitmarke), aber 3339 kann stattdessen angegeben werden, um die Zeitmarke im RFC3339 -Format auszugeben.
-u	Der Parameter -u zwingt logStream , Ereignisse über UDP zu senden.
-v	Der Parameter -v zeigt die Versionsinformationen für den logStreaman.
-x	Der Parameter -x ist ein Ausschlussfilter im erweiterten grep-Regex-Format. Beispiel: `parentalcontrolsd\|com.apple.Webkit.WebContent`

Beispiel:

#!/bin/sh /Users/……/logStream.pl -H 172.16.70.135

Speichern Sie Ihre Änderungen.
Wechseln Sie über das Terminal zu dem Ordner, der die erstellte Shelldatei enthält.
Geben Sie den folgenden Befehl ein, um die Perl-Datei als ausführbare Datei zu definieren:
```
chmod +x <FILE_NAME>.sh
```
Erstellen Sie im Terminal eine Datei mit der Dateierweiterung .plist wie im folgenden Beispiel:

<fileName>.plist.
Fügen Sie der Datei den folgenden XML-Befehl hinzu:
```
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
   <dict>
      <key>Label</key>
      <string>com.logSource.app</string>
      <key>Program</key>
      <string>/Users/…[Path_to_Shell_Script_Created_In_Step2]/[FILE_NAME].sh</string>
      <key>RunAtLoad</key>
      <true />
   </dict>
</plist>
```
Der XML-Befehl enthält Daten im Schlüssel/Wert-Paar. Die folgende Tabelle enthält die Schlüssel/Wert-Paare:

Tabelle 2. Schlüssel/Wert-Paare

Schlüssel Wert

Label com.logSource.app

Program /Users/…[Path_To_Shell_ Script_Created_In Step2]…/[FILE_NAME].sh

RunAtLoad Ja

Hinweis:
Der Wert des Schlüssels Label muss für jede .plist -Datei eindeutig sein. Wenn Sie beispielsweise den Label -Wert com.logSource.app für eine .plist -Datei verwenden, können Sie nicht denselben Wert für eine andere .plist -Datei verwenden.

Der Programmschlüssel enthält den Pfad des Shell-Scripts, das ausgeführt werden soll. Der Pfad ist ein absoluter Pfad, der normalerweise bei /Users/...beginnt.

Die Taste RunAtLoad zeigt Ereignisse an, wenn Sie Ihr Shellprogramm automatisch ausführen möchten.
Speichern Sie Ihre Änderungen.
Geben Sie den folgenden Befehl ein, um die Datei .plist als ausführbare Datei zu definieren:
```
chmod +x <FILE_NAME>.plist
```
Kopieren Sie die Datei mit dem folgenden Befehl nach /Library/LaunchDaemons/ :
```
sudo cp <Path_To_Your_plist_file> /Library/LaunchDaemons/
```
Starten Sie Ihr Mac-System erneut.
Melden Sie sich bei QRadaran und überprüfen Sie auf der Registerkarte Protokollaktivität , ob Ereignisse vom Apple Mac-System empfangen werden. Wenn Ereignisse als generische Sim-Ereignisse eingehen, müssen Sie manuell eine Protokollquelle für das Apple Mac-System konfigurieren.
Beispiel: Betrachten Sie das folgende Ereignis:
```
<13>1 2020-06-25T16:06:55.198987-0300 AAAA-MacBook-Pro.local trustd[130]: [com.apple.securityd.policy] cert[2]: AnchorTrusted =(leaf)[force]> 0
```
Die Protokollquellenparameterwerte für dieses Ereignis sind:
Tabelle 3. Protokollquellenparameter

Parameter Wert

Log Source Type Apple Mac OS X

Protocol Configuration Syslog

Log Source Identifier AAAA-MacBook-Pro.local

Schlüssel	Wert
Label	com.logSource.app
Program	/Users/…[`Path_To_Shell_ Script_Created_In Step2`]…/`[FILE_NAME]`.sh
RunAtLoad	Ja

Parameter	Wert
Log Source Type	Apple Mac OS X
Protocol Configuration	Syslog
Log Source Identifier	`AAAA-MacBook-Pro`.local