Apple Mac OS X での Syslog の構成

Apple Mac OS X オペレーティングシステムを実行するシステムで、ログストリームスクリプトを使用して MAC システムログを送信するように syslog QRadarを設定します。

手順

  1. 7.3-QRADAR-QRSCRIPT-logStream-1.0 フィックスを実装するには、 IBM Fix Centralから以下のファイルをダウンロードします。 (https://www-945.ibm.com/support/fixcentral/swg/downloadFixes?parent=IBM%20Security&product=ibm/Other+software/IBM+Security+QRadar+SIEM&release=7.3.0&platform=Linux&function=fixId&fixids=7.3-QRADAR-QRSCRIPT-logStream-1.0&includeRequisites=1&includeSupersedes=0&downloadMethod=http)
    • logStream.pl.tar.gz (2.88 KB)
    • 7.3-QRADAR-QRSCRIPT-logStream.sha256 (41 バイト)
  2. 端末から、解凍した logStream.pl ファイルを格納するために選択したフォルダーに移動します。
  3. logStream.pl ファイルを実行可能ファイルにするには、次のコマンドを入力します。
    chmod +x logStream.pl
  4. 以下の命名規則を使用して、 .sh 拡張子を持つ実行可能シェル・スクリプトを作成します。

    <FILE_NAME>.sh

  5. 作成したファイルに以下のコマンドを追加します。
    #!/bin/sh /Users/<PathToPerlScript>/logStream.pl -<Parameters1> <Value1> -<Parameters2> <Value2>

    パスは、通常は /Users/... から開始される絶対パスです。

    logStream.pl では以下のパラメーターを使用できます。
    表 1. logStream.pl parameters
    パラメーター 説明
    -H -H パラメーターは、ログの送信先となるホスト名または IP を定義します。
    -p -p パラメーターは、Syslog レシーバーが listen するリモート・ホスト上のポートを定義します。

    このパラメーターを指定しない場合、デフォルトでは、 logStream.pl スクリプトは TCP ポート 514 を使用してイベントを QRadarに送信します。
    -O -O パラメーターは、OS の /bin/hostname コマンドからの自動ホスト名をオーバーライドします。
    -s syslog ヘッダー・フォーマットのデフォルトは 5424 (RFC5424 タイム・スタンプ) ですが、代わりに 3339 を指定して、タイム・スタンプを RFC3339 フォーマットで出力することができます。
    -u -u パラメーターは、ログ・ストリームが UDP を使用してイベントを送信するようにします。
    -v -v パラメーターは、ログ・ストリームのバージョン情報を表示します。
    -x -x パラメーターは、grep 拡張正規表現形式の除外フィルターです。

    例: parentalcontrolsd|com.apple.Webkit.WebContent
    例:
    #!/bin/sh /Users/……/logStream.pl -H 172.16.70.135
  6. 変更を保存します。
  7. 端末から、作成したシェル・ファイルが格納されているフォルダーに移動します。
  8. perl ファイルを実行可能ファイルにするには、以下のコマンドを入力します。
    chmod +x <FILE_NAME>.sh
  9. 端末で、以下の例のように .plist ファイル拡張子を持つファイルを作成します。

    <fileName>.plist.

  10. 以下の XML コマンドをファイルに追加します。
    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
   <dict>
      <key>Label</key>
      <string>com.logSource.app</string>
      <key>Program</key>
      <string>/Users/…[Path_to_Shell_Script_Created_In_Step2]/[FILE_NAME].sh</string>
      <key>RunAtLoad</key>
      <true />
   </dict>
</plist>

    XML コマンドでは、キー/値ペアの形でデータが保持されます。 以下の表にキー/値のペアを示します。

    表 2. キー/値のペア
    キー
    Label com.logSource.app
    Program /Users/…[Path_To_Shell_ Script_Created_In Step2]…/[FILE_NAME].sh
    RunAtLoad はい
    注:

    Label キーの値は、.plist ファイルごとに固有でなければなりません。 例えば、1 つの .plist ファイルに Labelcom.logSource.app を使用する場合、別の .plist ファイルに同じ値を使用することはできません。

    Program キーは、実行するシェル・スクリプトのパスを保持します。 パスは、通常は /Users/... から開始される絶対パスです。

    RunAtLoad キーは、シェル・プログラムを自動的に実行するときのイベントを示します。

  11. 変更を保存します。
  12. .plist ファイルを実行可能ファイルにするには、次のコマンドを入力します。
    chmod +x <FILE_NAME>.plist
  13. 次のコマンドを使用して、ファイルを /Library/LaunchDaemons/ にコピーします。
    sudo cp <Path_To_Your_plist_file> /Library/LaunchDaemons/
  14. Mac システムを再始動します。
  15. QRadarにログインし、 「ログ・アクティビティー」 タブで、Apple Mac システムからイベントが到着していることを確認します。 イベントが SIM 汎用として受信されている場合は、Apple Mac システムのログ・ソースを手動で構成する必要があります。
    例: 以下のイベントを考えてみます。
    <13>1 2020-06-25T16:06:55.198987-0300 AAAA-MacBook-Pro.local trustd[130]: [com.apple.securityd.policy] cert[2]: AnchorTrusted =(leaf)[force]> 0
    このイベントのログ・ソース・パラメーターの値は以下のとおりです。
    表 3. ログ・ソース・パラメーター
    パラメーター
    Log Source Type Apple Mac OS X
    Protocol Configuration Syslog
    Log Source Identifier AAAA-MacBook-Pro.local