Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

Raccogliere i log di sistema di macOS

Supportato in:

Google SecOps SIEM

Questo documento spiega come importare i log di sistema macOS in Google Security Operations utilizzando Bindplane. macOS utilizza il sistema di logging unificato di Apple per acquisire eventi a livello di sistema, tra cui autenticazione, esecuzione di processi, attività del kernel e comportamento delle applicazioni. Questi log possono essere inoltrati tramite syslog a un raccoglitore remoto per il monitoraggio e l'analisi centralizzati della sicurezza.

Prima di iniziare

Assicurati di soddisfare i seguenti prerequisiti:

Un'istanza Google SecOps.
Un host Windows 2016 o versioni successive o Linux con systemd.
Se l'agente viene eseguito dietro un proxy, assicurati che le porte del firewall siano aperte in base ai requisiti dell'agente Bindplane.
Accesso amministrativo agli endpoint macOS che inoltreranno i log.
macOS 10.12 (Sierra) o versioni successive con supporto per la registrazione unificata.

Recuperare il file di autenticazione importazione di Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Agente di raccolta.
Scarica il file di autenticazione importazione.
- Salva il file in modo sicuro sul sistema in cui verrà installato Bindplane.

Recuperare l'ID cliente Google SecOps

Accedi alla console Google SecOps.
Vai a Impostazioni SIEM > Profilo.
Copia e salva l'ID cliente dalla sezione Dettagli dell'organizzazione.

Installa l'agente Bindplane

Installa l'agente Bindplane sul sistema operativo Windows o Linux seguendo le istruzioni riportate di seguito.

Installazione di Windows

Apri il prompt dei comandi o PowerShell come amministratore.

Esegui questo comando:

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

Installazione di Linux

Apri un terminale con privilegi di root o sudo.

Esegui questo comando:

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

Risorse aggiuntive per l'installazione

Per ulteriori opzioni di installazione, consulta questa guida all'installazione.

Configura l'agente Bindplane per importare Syslog e inviarlo a Google SecOps

Accedi al file di configurazione:
- Individua il file config.yaml. In genere si trova nella directory /observiq-otel-collector/ su Linux o nella directory di installazione su Windows.
- Apri il file utilizzando un editor di testo (ad esempio nano, vi o Blocco note).

Modifica il file config.yaml come segue:

receivers:
  udplog:
    # Replace the port and IP address as required
    listen_address: "0.0.0.0:514"

exporters:
  chronicle/chronicle_w_labels:
    compression: gzip
    # Adjust the path to the credentials file you downloaded in Step 1
    creds_file_path: '/path/to/ingestion-authentication-file.json'
    # Replace with your actual customer ID from Step 2
    customer_id: <PLACEHOLDER_CUSTOMER_ID>
    endpoint: malachiteingestion-pa.googleapis.com
    # Add optional ingestion labels for better organization
    log_type: 'MACOS'
    raw_log_field: body
    ingestion_labels:

service:
  pipelines:
    logs/source0__chronicle_w_labels-0:
      receivers:
        - udplog
      exporters:
        - chronicle/chronicle_w_labels

Sostituisci la porta e l'indirizzo IP in base alle esigenze della tua infrastruttura.
Sostituisci <PLACEHOLDER_CUSTOMER_ID> con l'ID cliente effettivo.
Aggiorna /path/to/ingestion-authentication-file.json al percorso del file in cui è stato salvato il file di autenticazione nella sezione Recupera il file di autenticazione per l'importazione di Google SecOps.

Riavvia l'agente Bindplane per applicare le modifiche

Per riavviare l'agente Bindplane in Linux:

Esegui questo comando:

sudo systemctl restart observiq-otel-collector

Verifica che il servizio sia in esecuzione:

sudo systemctl status observiq-otel-collector

Controlla i log per individuare eventuali errori:

sudo journalctl -u observiq-otel-collector -f

Per riavviare l'agente Bindplane in Windows:

Scegli una delle seguenti opzioni:
- Prompt dei comandi o PowerShell come amministratore:
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- Console dei servizi:
  1. Premi Win+R, digita services.msc e premi Invio.
  2. Individua observIQ OpenTelemetry Collector.
  3. Fai clic con il tasto destro del mouse e seleziona Riavvia.
Verifica che il servizio sia in esecuzione:
```
sc query observiq-otel-collector
```

Controlla i log per individuare eventuali errori:

type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"

Configurare l'inoltro di syslog macOS

macOS utilizza il sistema di logging unificato. Per inoltrare i log all'agente Bindplane tramite syslog, configura il servizio syslogd integrato su ogni endpoint macOS.

Opzione 1: configura l'inoltro di syslog utilizzando syslog.conf

Apri Terminale sull'endpoint macOS.
Modifica il file di configurazione di syslog:
```
sudo nano /etc/syslog.conf
```
Aggiungi la seguente riga alla fine del file per inoltrare tutti i log tramite UDP all'agente Bindplane:
```
*.*     @<BINDPLANE_IP_ADDRESS>:514
```
- Sostituisci <BINDPLANE_IP_ADDRESS> con l'indirizzo IP dell'host dell'agente Bindplane (ad esempio, 192.168.1.100).
Nota: utilizza @ per l'inoltro UDP. Utilizza @@ per l'inoltro TCP.
Salva il file ed esci.

Riavvia il daemon syslog:

sudo launchctl unload /System/Library/LaunchDaemons/com.apple.syslogd.plist
sudo launchctl load /System/Library/LaunchDaemons/com.apple.syslogd.plist

Opzione 2: configura l'inoltro di syslog utilizzando asl.conf

Apri Terminale sull'endpoint macOS.
Modifica il file di configurazione ASL:
```
sudo nano /etc/asl.conf
```
Aggiungi la seguente riga per inoltrare i log al server syslog remoto:
```
? [= Sender kernel] forward <BINDPLANE_IP_ADDRESS>:514
? [<= Level notice] forward <BINDPLANE_IP_ADDRESS>:514
```
- Sostituisci <BINDPLANE_IP_ADDRESS> con l'indirizzo IP dell'host dell'agente Bindplane.
Salva il file ed esci.

Riavvia il daemon syslog:

sudo launchctl unload /System/Library/LaunchDaemons/com.apple.syslogd.plist
sudo launchctl load /System/Library/LaunchDaemons/com.apple.syslogd.plist

Verificare l'inoltro dei log

Sull'endpoint macOS, genera un messaggio di log di test:

logger -p user.notice "Test syslog message for Bindplane"

Sull'host dell'agente Bindplane, controlla i log dell'agente per i messaggi in arrivo:
```
sudo journalctl -u observiq-otel-collector -f
```

Tabella di mappatura UDM

Campo log	Mappatura UDM	Logica
`activityIdentifier_label`	`additional.fields`	Unita
`backtrace_label`	`additional.fields`	Unita
`bootUUID_label`	`additional.fields`	Unita
`category_label`	`additional.fields`	Unita
`chronicle_log_type_label`	`additional.fields`	Unita
`formatString_label`	`additional.fields`	Unita
`log_type_label`	`additional.fields`	Unita
`machTimestamp_label`	`additional.fields`	Unita
`messageType_label`	`additional.fields`	Unita
`parentActivityIdentifier_label`	`additional.fields`	Unita
`processImageUUID_label`	`additional.fields`	Unita
`senderImageUUID_label`	`additional.fields`	Unita
`senderProgramCounter_label`	`additional.fields`	Unita
`subprocess_label`	`additional.fields`	Unita
`subsystem_label`	`additional.fields`	Unita
`threadID_label`	`additional.fields`	Unita
`traceID_label`	`additional.fields`	Unita
`intermediary_host`	`intermediary.hostname`	Mappato direttamente
`attributes.message`	`metadata.description`	Mappato direttamente
`description`	`metadata.description`	Mappato direttamente
`eventMessage`	`metadata.description`	Mappato direttamente
`timestamp`	`metadata.event_timestamp`	Analizzato come `ISO8601`
`has_principal`	`metadata.event_type`	Mappato: `true` → `STATUS_UPDATE`
`has_user`	`metadata.event_type`	Mappato: `true` → `USER_UNCATEGORIZED`
`attributes.process`	`metadata.product_event_type`	Mappato direttamente
`eventType`	`metadata.product_event_type`	Mappato direttamente
`attributes.host`	`principal.asset.hostname`	Mappato direttamente
`hostname`	`principal.asset.hostname`	Mappato direttamente
`source`	`principal.asset.hostname`	Mappato direttamente
`senderImagePath`	`principal.file.full_path`	Mappato direttamente
`attributes.host`	`principal.hostname`	Mappato direttamente
`hostname`	`principal.hostname`	Mappato direttamente
`source`	`principal.hostname`	Mappato direttamente
`command_line`	`principal.process.command_line`	Mappato direttamente
`processImagePath`	`principal.process.file.full_path`	Mappato direttamente
`attributes.pid`	`principal.process.pid`	Mappato direttamente
`processID`	`principal.process.pid`	Mappato direttamente
`process_id`	`principal.process.pid`	Mappato direttamente
`userID`	`principal.user.userid`	Mappato direttamente
N/D	`metadata.event_type`	Costante: `USER_UNCATEGORIZED`
N/D	`metadata.product_name`	Costante: `MacOS`
N/D	`metadata.vendor_name`	Costante: `Apple`
N/D	`principal.platform`	Costante: `MAC`

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.