Konfigurowanie dziennika syslog w systemie Apple Mac OS X

Skonfiguruj dziennik syslog w systemach, w których działają systemy operacyjne Apple Mac OS X, używając skryptu strumienia dziennika w celu wysłania dzienników systemu MAC do produktu QRadar®.

Procedura

Aby zaimplementować poprawkę 7.3-QRADAR-QRSCRIPT-logStream-1.0 , należy pobrać następujące pliki z serwisu IBM Fix Central. (https://www-945.ibm.com/support/fixcentral/swg/downloadFixes?parent=IBM%20Security&product=ibm/Other+software/IBM+Security+QRadar+SIEM&release=7.3.0&platform=Linux&function=fixId&fixids=7.3-QRADAR-QRSCRIPT-logStream-1.0&includeRequisites=1&includeSupersedes=0&downloadMethod=http)
- logStream.pl.tar.gz (2.88 KB)
- 7.3-QRADAR-QRSCRIPT-logStream.sha256 (41 bajtów)
Z poziomu terminalu przejdź do folderu, który został wybrany, aby zawierał wyodrębniony plik logStream.pl .
Aby plik logStream.pl był plikiem wykonywalnym, wpisz następującą komendę:

chmod + x logStream.pl
Utwórz wykonywalny skrypt powłoki z rozszerzeniem .sh o następującej konwencji nazewnictwa:

<FILE_NAME>.sh

Dodaj następującą komendę do utworzonego pliku:

#!/bin/sh/Users/<PathToPerlScript>/logStream.pl -<Parameters1> <Value1> -<Parameters2> <Value2>

Ścieżka jest bezwzględną ścieżką, która zwykle rozpoczyna się od /Users/....

Dla produktu logStream.plmożna użyć następujących parametrów:

Tabela 1. logStream.pl parametry
Parametr	Opis
-H	Parametr -H definiuje nazwę hosta lub adres IP, do którego mają być wysyłane dzienniki.
-p	Parametr -p definiuje port na zdalnym hoście, na którym nasłuchuje dziennik syslog. Jeśli ten parametr nie zostanie podany, domyślnie skrypt logStream.pl używa portu TCP 514 do wysyłania zdarzeń do produktu QRadar.
-O	Parametr -O przesłania nazwę hosta automatycznego z komendy systemu operacyjnego `/bin/hostname` .
-s	Domyślny format nagłówka syslog to 5424 (znacznik czasuRFC5424 ), ale można podać wartość 3339, aby wyjściowy znacznik czasu w formacie RFC3339 był wyjściowy.
-u	Parametr -u wymusza wysyłanie zdarzeń przez parametr logStream za pomocą protokołu UDP.
-v	Parametr -v wyświetla informacje o wersji dla strumienia logStream.
-x	Parametr -x jest filtrem wykluczania w rozszerzonym formacie Regex w języku grep. Na przykład: `parentalcontrolsd\|com.apple.Webkit.WebContent`

Przykład:

#!/bin/sh/Users/……/logStream.pl -H 172.16.70.135

Zapisz wprowadzone zmiany.
Z terminalu przejdź do folderu zawierającego utworzony plik powłoki.
Aby plik perl był plikiem wykonywalnym, wpisz następującą komendę:
```
chmod +x <FILE_NAME>.sh
```
W terminalu utwórz plik z rozszerzeniem .plist , jak w następującym przykładzie:

<fileName>.plist.
Dodaj do pliku następującą komendę XML:
```
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0">        <dict>                <key>Label</key>                <string>com.logSource.app</string><key>Program</key><string>/Users/…<Path_to_Shell_Script_Created_In_Step2> …/shellScript.sh</string>                <key>RunAtLoad</key>                <true/>        </dict></plist>
```
Komenda XML przechowuje dane w parze klucz-wartość. W poniższej tabeli przedstawiono pary klucz-wartość:

Tabela 2. Pary klucz-wartość

Klucz Wartość

Label com.logSource.app

Program /Users/…<Path_To_Shell_ Script_Created_In Step2>…/shellScript.sh

RunAtLoad True

Uwaga:
Wartość klucza Label musi być unikalna dla każdego pliku .plist . Na przykład, jeśli dla jednego pliku .plist używana jest wartość Label com.logSource.app , nie można użyć tej samej wartości dla innego pliku .plist .

Klucz programu przechowuje ścieżkę skryptu powłoki, który ma zostać uruchomiony. Ścieżka jest bezwzględną ścieżką, która zwykle rozpoczyna się od /Users/....

Naciśnięcie klawisza RunAtLoad powoduje wyświetlenie zdarzeń, gdy program powłoki ma być uruchamiany automatycznie.
Zapisz wprowadzone zmiany.
Aby plik .plist był plikiem wykonywalnym, wpisz następującą komendę:
```
chmod +x <fileName>.plist
```
Skopiuj plik do programu /Library/LaunchDaemons/ przy użyciu następującej komendy:
```
sudo cp <Path_To_Your_plist_file> /Library/LaunchDaemons/
```
Zrestartuj system Mac.
Zaloguj się do produktu QRadar, a następnie na karcie Log Activity (Aktywność dziennika) sprawdź, czy zdarzenia są przychodzące z systemu Apple Mac. Jeśli zdarzenia są przychodzące jako Sim Generic, należy ręcznie skonfigurować źródło dziennika dla systemu Apple Mac.
Przykład: Uwzględniaj następujące zdarzenie:
```
<13>1 2020-06-25T16:06:55.198987-0300 AAAA-MacBook-Pro.local trustd[130]: [com.apple.securityd.policy] cert[2]: AnchorTrusted =(leaf)[force]> 0
```
Wartości parametrów źródła dziennika dla tego zdarzenia są następujące:
Tabela 3. Parametry źródła dziennika

Parametr Wartość

Log Source Type Apple Mac OS X

Protocol Configuration Syslog

Log Source Identifier AAAA-MacBook-Pro.local

Klucz	Wartość
Label	com.logSource.app
Program	/Users/…<`Path_To_Shell_ Script_Created_In Step2`>…/`shellScript`.sh
RunAtLoad	True

Parametr	Wartość
Log Source Type	Apple Mac OS X
Protocol Configuration	Syslog
Log Source Identifier	`AAAA-MacBook-Pro`.local