Apple Mac OS X에서 syslog 구성

Apple Mac OS X 운영체제를 실행하는 시스템에서 syslog를 구성하려면 로그 스트림 스크립트를 사용하여 MAC 시스템 로그를 로 전송하십시오 QRadar.

프로시저

  1. 7.3-QRADAR-QRSCRIPT-logStream-1.0 수정사항을 구현하려면 IBM Fix Central에서 다음 파일을 다운로드하십시오. (https://www-945.ibm.com/support/fixcentral/swg/downloadFixes?parent=IBM%20Security&product=ibm/Other+software/IBM+Security+QRadar+SIEM&release=7.3.0&platform=Linux&function=fixId&fixids=7.3-QRADAR-QRSCRIPT-logStream-1.0&includeRequisites=1&includeSupersedes=0&downloadMethod=http)
    • logStream. pl.tar.gz ( 2.88 KB)
    • 7.3-QRADAR-QRSCRIPT-logStream.sha256 (41바이트)
  2. 터미널에서 추출한 logStream.pl 파일을 포함하도록 선택한 폴더로 이동하십시오.
  3. logStream.pl 파일을 실행 파일로 만들려면 다음 명령을 입력하십시오.
    chmod +x logStream.pl
  4. 다음 이름 지정 규칙을 사용하여 확장자가 .sh 인 실행 가능 쉘 스크립트를 작성하십시오.

    <FILE_NAME>.sh

  5. 작성한 파일에 다음 명령을 추가하십시오.
    #!/bin/sh /Users/<PathToPerlScript>/logStream.pl -<Parameters1> <Value1> -<Parameters2> <Value2>

    경로는 일반적으로 /Users/...에서 시작하는 절대 경로입니다.

    logStream.pl에 대해 다음 매개변수를 사용할 수 있습니다.
    표 1. logStream.pl 매개변수
    매개변수 설명
    -H -H 매개변수는 로그를 보낼 호스트 이름 또는 IP를 정의합니다.
    -p -p 매개변수는 syslog 수신자가 청취 중인 원격 호스트의 포트를 정의합니다.

    이 매개변수를 지정하지 않으면 기본적으로 logStream.pl 스크립트는 QRadar에 이벤트를 전송하기 위해 TCP 포트 514를 사용합니다.
    -O -O 매개변수는 OS의 /bin/hostname 명령에서 자동 호스트 이름을 겹쳐씁니다.
    -s syslog 헤더 형식 기본값은 5424 (RFC5424 시간소인) 이지만 RFC3339 형식으로 시간소인을 출력하는 대신 3339를 지정할 수 있습니다.
    -u -u 매개변수는 logStream 이 UDP를 사용하여 이벤트를 전송하도록 강제 실행합니다.
    -v -v 매개변수는 logStream에 대한 버전 정보를 표시합니다.
    -x -x 매개변수는 grep 확장 Regex 형식의 제외 필터입니다.

    예: parentalcontrolsd|com.apple.Webkit.WebContent
    예제:
    #!/bin/sh /Users/……/logStream.pl -H 172.16.70.135
  6. 변경사항을 저장하십시오.
  7. 터미널에서 작성한 쉘 파일을 포함하는 폴더로 이동하십시오.
  8. perl 파일을 실행 파일로 만들려면 다음 명령을 입력하십시오.
    chmod +x <FILE_NAME>.sh
  9. 터미널에서 다음 예제와 같이 파일 확장자가 .plist 인 파일을 작성하십시오.

    <fileName>.plist.

  10. 다음 XML 명령을 파일에 추가하십시오.
    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
   <dict>
      <key>Label</key>
      <string>com.logSource.app</string>
      <key>Program</key>
      <string>/Users/…[Path_to_Shell_Script_Created_In_Step2]/[FILE_NAME].sh</string>
      <key>RunAtLoad</key>
      <true />
   </dict>
</plist>

    XML 명령은 키-값 쌍으로 데이터를 보유합니다. 다음 표에서는 키-값 쌍을 제공합니다.

    표 2. 키-값 쌍
    Label com.logSource.app
    Program /Users/…[Path_To_Shell_ Script_Created_In Step2]…/[FILE_NAME].sh
    RunAtLoad
    참고:

    Label 키의 값은 각 .plist 파일에 대해 고유해야 합니다. 예를 들어, 하나의 .plist 파일에 대해 Label value com.logSource.app 를 사용하는 경우 다른 .plist 파일에 대해 동일한 값을 사용할 수 없습니다.

    프로그램 키는 실행하려는 쉘 스크립트의 경로를 보유합니다. 경로는 일반적으로 /Users/...에서 시작하는 절대 경로입니다.

    RunAtLoad 키는 쉘 프로그램을 자동으로 실행하려는 경우 이벤트를 표시합니다.

  11. 변경사항을 저장하십시오.
  12. .plist 파일을 실행 파일로 만들려면 다음 명령을 입력하십시오.
    chmod +x <FILE_NAME>.plist
  13. 다음 명령을 사용하여 파일을 /Library/LaunchDaemons/ 에 복사하십시오.
    sudo cp <Path_To_Your_plist_file> /Library/LaunchDaemons/
  14. Mac 시스템을 다시 시작하십시오.
  15. QRadar에 로그인한 후 로그 보기 탭에서 Apple Mac 시스템에서 이벤트가 도착하는지 확인하십시오. 이벤트가 Sim Generic으로 도착하는 경우 Apple Mac 시스템에 대한 로그 소스를 수동으로 구성해야 합니다.
    예: 다음 이벤트를 고려하십시오.
    <13>1 2020-06-25T16:06:55.198987-0300 AAAA-MacBook-Pro.local trustd[130]: [com.apple.securityd.policy] cert[2]: AnchorTrusted =(leaf)[force]> 0
    해당 이벤트의 로그 소스 매개변수 값은 다음과 같습니다.
    표 3. 로그 소스 매개변수
    매개변수
    Log Source Type Apple Mac OS X
    Protocol Configuration Syslog
    Log Source Identifier AAAA-MacBook-Pro.local