Où se trouvent les journaux d'authentification (échecs de connexion, connexions réussies) et comment les envoyer à un serveur syslog distant sur la dernière version de MacOS ?
Il semble que je fasse partie des 0,1% de personnes qui souhaitent envoyer leurs journaux MacOS liés à la sécurité vers un SIEM, et si l'on ajoute à cela la rareté de la tâche et l'évolution constante des fonctionnalités de syslog, il semble insurmontable de trouver des informations précises à ce sujet.
Au tout début, Mac OS X utilisait le syslog classique pour la journalisation. Cela a changé avec Mac OS X 10.4 Tiger en 2005 avec l'introduction d'Apple System Log. Enfin, avec MacOS 10.12 Sierra en 2016, ASL a été remplacé par Unified Logging. Je suppose que les "fonctionnalités syslog en constante évolution" que vous mentionnez sont ces 2 changements sur 22 ans.
Vous pouvez afficher les journaux d'authentification en continu comme ceci :
log stream -predicate 'category=="auth"'ou spécifiquement comme :
log stream -predicate 'process=="opendirectoryd"'(Notez que votre définition des journaux d'authentification peut être différente, assurez-vous donc de modifier le filtre à votre convenance)
La partie suivante consiste à envoyer ces informations au SIEM. La plupart des systèmes SIEM ont des collecteurs de logs pour divers systèmes. Peut-être que le vôtre en a un pour ASL ?
Si votre SIEM ne supporte que le syslog, vous pouvez utiliser un outil tel que remote_syslog2 pour prendre la sortie de la log ci-dessus et le transmettre via le protocole syslog.
Vous pouvez modifier le log pour obtenir un look plus "syslog friendly" :
log stream --style syslog -predicate 'category=="auth"'LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.
