Configuración de syslog en tu Apple i Mac OS X

Configure syslog en sistemas que ejecutan sistemas operativos Apple Mac OS X utilizando un script de flujo de registros para enviar los registros del sistema MAC a QRadar.

Procedimiento

Para implementar el arreglo 7.3-QRADAR-QRSCRIPT-logStream-1.0 , descargue los archivos siguientes de IBM Fix Central. (https://www-945.ibm.com/support/fixcentral/swg/downloadFixes?parent=IBM%20Security&product=ibm/Other+software/IBM+Security+QRadar+SIEM&release=7.3.0&platform=Linux&function=fixId&fixids=7.3-QRADAR-QRSCRIPT-logStream-1.0&includeRequisites=1&includeSupersedes=0&downloadMethod=http)
- logStream. pl.tar.gz ( 2.88 KB)
- 7.3-QRADAR-QRSCRIPT-logStream.sha256 (41 bytes)
Desde el terminal, vaya a la carpeta que ha elegido para contener el archivo logStream.pl que ha extraído.
Para que el archivo logStream.pl sea un archivo ejecutable, escriba el mandato siguiente:
```
chmod +x logStream.pl
```
Cree un script de shell ejecutable con una extensión .sh con el siguiente convenio de denominación:

<FILE_NAME>.sh

Añada el mandato siguiente al archivo que ha creado:

#!/bin/sh /Users/<PathToPerlScript>/logStream.pl -<Parameters1> <Value1> -<Parameters2> <Value2>

La vía de acceso es una vía de acceso absoluta que normalmente empieza desde /Users/....

Puede utilizar los parámetros siguientes para logStream.pl:

Tabla 1. logStream.pl parámetros
Parámetro	Descripción
-H	El parámetro -H define el nombre de host o IP al que enviar los registros.
-p	El parámetro -p define el puerto en el host remoto, donde un receptor de syslog está a la escucha. Si no se especifica este parámetro, de forma predeterminada el script logStream.pl utiliza el puerto TCP 514 para enviar sucesos a QRadar.
-O	El parámetro -O altera temporalmente el nombre de host automático del mandato `/bin/hostname` del sistema operativo.
-s	El formato de cabecera de syslog predeterminado es 5424 (indicación de fecha y horaRFC5424 ), pero se puede especificar 3339 en su lugar para generar la indicación de fecha y hora en formato RFC3339 .
-u	El parámetro -u fuerza a logStream a enviar sucesos utilizando UDP.
-v	El parámetro -v muestra la información de versión para logStream.
-x	El parámetro -x es un filtro de exclusión en formato de expresión regular ampliada grep. Por ejemplo: `parentalcontrolsd\|com.apple.Webkit.WebContent`

Ejemplo:

#!/bin/sh /Users/……/logStream.pl -H 172.16.70.135

Guarde los cambios.
Desde el terminal, vaya a la carpeta que contiene el archivo de shell que ha creado.
Para convertir el archivo perl en un archivo ejecutable, escriba el mandato siguiente:
```
chmod +x <FILE_NAME>.sh
```
En el terminal, cree un archivo con una extensión de archivo .plist como en el ejemplo siguiente:

<fileName>.plist.
Añada el siguiente mandato XML al archivo:
```
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
   <dict>
      <key>Label</key>
      <string>com.logSource.app</string>
      <key>Program</key>
      <string>/Users/…[Path_to_Shell_Script_Created_In_Step2]/[FILE_NAME].sh</string>
      <key>RunAtLoad</key>
      <true />
   </dict>
</plist>
```
El mandato XML contiene datos en el par de clave-valor. La tabla siguiente proporciona los pares de clave-valor:

Tabla 2. Pares de clave-valor

Clave Valor

Label com.logSource.app

Program /Users/…[Path_To_Shell_ Script_Created_In Step2]…/[FILE_NAME].sh

RunAtLoad Sí

Nota:
El valor de la clave Label debe ser exclusivo para cada archivo .plist . Por ejemplo, si utiliza el Label valor com.logSource.app para un archivo .plist , no puede utilizar el mismo valor para otro archivo .plist .

La clave de programa contiene la vía de acceso del script de shell que desea ejecutar. La vía de acceso es una vía de acceso absoluta que normalmente empieza desde /Users/....

La clave RunAtLoad muestra los sucesos cuando desea ejecutar el programa shell automáticamente.
Guarde los cambios.
Para que el archivo .plist sea un archivo ejecutable, escriba el mandato siguiente:
```
chmod +x <FILE_NAME>.plist
```
Copie el archivo en /Library/LaunchDaemons/ utilizando el mandato siguiente:
```
sudo cp <Path_To_Your_plist_file> /Library/LaunchDaemons/
```
Reinicie el sistema Mac.
Inicie sesión en QRadary, a continuación, desde la pestaña Actividad de registro , verifique que los sucesos lleguen desde el sistema Apple Mac. Si los sucesos llegan como genéricos Sim, debe configurar manualmente un origen de registro para el sistema Apple Mac.
Ejemplo: Considere el suceso siguiente:
```
<13>1 2020-06-25T16:06:55.198987-0300 AAAA-MacBook-Pro.local trustd[130]: [com.apple.securityd.policy] cert[2]: AnchorTrusted =(leaf)[force]> 0
```
Los valores de parámetro de origen de registro para ese suceso son:
Tabla 3. Parámetros de origen de registro

Parámetro Valor

Log Source Type Apple Mac OS X

Protocol Configuration Syslog

Log Source Identifier AAAA-MacBook-Pro.local

Clave	Valor
Label	com.logSource.app
Program	/Users/…[`Path_To_Shell_ Script_Created_In Step2`]…/`[FILE_NAME]`.sh
RunAtLoad	Sí

Parámetro	Valor
Log Source Type	Apple Mac OS X
Protocol Configuration	Syslog
Log Source Identifier	`AAAA-MacBook-Pro`.local