在 Apple Mac OS X 上配置 syslog

在執行 Apple Mac OS X 作業系統的系統上配置 syslog ，方法是使用日誌串流 Script 將 MAC 系統日誌傳送至 QRadar®。

程序

若要實作 7.3-QRADAR-QRSCRIPT-logStream-1.0 修正程式，請從 IBM Fix Central下載下列檔案。 (https://www-945.ibm.com/support/fixcentral/swg/downloadFixes?parent=IBM%20Security&product=ibm/Other+software/IBM+Security+QRadar+SIEM&release=7.3.0&platform=Linux&function=fixId&fixids=7.3-QRADAR-QRSCRIPT-logStream-1.0&includeRequisites=1&includeSupersedes=0&downloadMethod=http)
- logStream.pl.tar.gz (2.88 KB)
- 7.3-QRADAR-QRSCRIPT-logStream.sha256 (41 位元組)
從終端機，移至您選擇包含解壓縮之 logStream.pl 檔案的資料夾。
若要使 logStream.pl 檔案成為執行檔，請鍵入下列指令:

chmod + x logStream.pl
建立具有下列命名慣例且副檔名為 .sh 的可執行 Shell Script:

<FILE_NAME>.sh

將下列指令新增至您建立的檔案:

#!/bin/sh/Users/<PathToPerlScript>/logStream.pl -<Parameters1> <Value1> -<Parameters2> <Value2>

路徑是通常從 /Users/...開始的絕對路徑。

您可以對 logStream.pl使用下列參數:

表 1. logStream.pl 參數
參數	說明
-H	-H 參數定義要將日誌傳送至其中的主機名稱或 IP。
-p	-p 參數定義遠端主機上 syslog 接收端接聽的埠。如果未指定此參數，依預設， logStream.pl Script 會使用 TCP 埠 514 ，將事件傳送至 QRadar。
-O	-O 參數會置換 OS 的 `/bin/hostname` 指令中的自動主機名稱。
-s	syslog 標頭格式預設值為 5424 (RFC5424 時間戳記) ，但可以改為指定 3339 來輸出 RFC3339 格式的時間戳記。
-u	-u 參數會強制 logStream 使用 UDP 來傳送事件。
-v	-v 參數會顯示 logStream的版本資訊。
-x	-x 參數是 grep 延伸 Regex 格式的排除過濾器。例如：`parentalcontrolsd\|com.apple.Webkit.WebContent`

範例：

#!/bin/sh/Users/……/logStream.pl -H 172.16.70.135

請儲存您的變更。
從終端機，移至包含您所建立 Shell 檔案的資料夾。
若要使 Perl 檔成為執行檔，請鍵入下列指令:
```
chmod +x <FILE_NAME>.sh
```
在終端機中，建立副檔名為 .plist 的檔案，如下列範例所示:

<fileName>.plist.
將下列 XML 指令新增至檔案:
```
<?xml version="1.0" encoding="UTF-8"?><!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd"><plist version="1.0">        <dict>                <key>Label</key>                <string>com.logSource.app</string><key>Program</key><string>/Users/…<Path_to_Shell_Script_Created_In_Step2> …/shellScript.sh</string>                <key>RunAtLoad</key>                <true/>        </dict></plist>
```
XML 指令會保留鍵值組中的資料。下表提供鍵值組:

表 2. 鍵值組

鍵值

Label com.logSource.app

Program /Users/…<Path_To_Shell_ Script_Created_In Step2>…/shellScript.sh

RunAtLoad True

附註：
對於每一個 .plist 檔， Label 索引鍵的值必須是唯一的。例如，如果您對某個 .plist 檔案使用 Label 值 com.logSource.app ，則無法對另一個 .plist 檔案使用相同的值。

程式鍵保留您要執行之 Shell Script 的路徑。路徑是通常從 /Users/...開始的絕對路徑。

當您想要自動執行 Shell 程式時， RunAtLoad 索引鍵會顯示事件。
請儲存您的變更。
若要使 .plist 檔案成為執行檔，請鍵入下列指令:
```
chmod +x <fileName>.plist
```
使用下列指令將檔案複製到 /Library/LaunchDaemons/ :
```
sudo cp <Path_To_Your_plist_file> /Library/LaunchDaemons/
```
重新啟動 Mac 系統。
登入 QRadar，然後從日誌活動標籤，驗證事件是否從 Apple Mac 系統送達。如果事件以 Sim Generic 形式送達，您必須手動配置 Apple Mac 系統的日誌來源。
範例: 考量下列事件:
```
<13>1 2020-06-25T16:06:55.198987-0300 AAAA-MacBook-Pro.local trustd[130]: [com.apple.securityd.policy] cert[2]: AnchorTrusted =(leaf)[force]> 0
```
該事件的日誌來源參數值如下:
表 3. 日誌來源參數

參數值

Log Source Type Apple Mac OS X

Protocol Configuration Syslog

Log Source Identifier AAAA-MacBook-Pro.local

鍵	值
Label	com.logSource.app
Program	/Users/…<`Path_To_Shell_ Script_Created_In Step2`>…/`shellScript`.sh
RunAtLoad	True

參數	值
Log Source Type	Apple Mac OS X
Protocol Configuration	Syslog
Log Source Identifier	`AAAA-MacBook-Pro`.local