¿Dónde están los registros de autenticación (inicios de sesión fallidos, exitosos) y cómo los envías a un servidor remoto de syslog en la última versión de MacOS?
Parece que soy parte del 0.1% de las personas que desean enviar sus registros de seguridad de MacOS a un SIEM, y la rareza de la tarea junto con las características de syslog que cambian constantemente, parece insuperable encontrar información precisa sobre esto.
En el comienzo, Mac OS X utilizaba syslog clásico para el registro. Eso cambió con Mac OS X 10.4 Tiger en 2005 con la introducción de Apple System Log. Finalmente, con macOS 10.12 Sierra en 2016, ASL fue reemplazado por Unified Logging. Supongo que los "cambios constantes en las características de syslog" a los que te refieres son esos 2 cambios en 22 años.
Puedes ver los registros de autenticación de forma continua de esta manera:
log stream -predicate 'category=="auth"'o específicamente como:
log stream -predicate 'process=="opendirectoryd"'(Ten en cuenta que tu definición de registros de autenticación puede ser diferente, asegúrate de cambiar el filtro según tu preferencia)
La siguiente parte es enviar esa información al SIEM. La mayoría de los sistemas SIEM cuentan con recolectores de registros para varios sistemas. ¿Puede ser que el tuyo tenga uno para ASL?
Si tu SIEM solo admite syslog, puedes utilizar una herramienta como remote_syslog2 para tomar la salida del comando log anterior y enviarla a través del protocolo syslog.
Puedes modificar ligeramente el comando log para obtener un aspecto más "amigable con syslog":
log stream --style syslog -predicate 'category=="auth"'
localhost sshd[403]: error: PAM: error de autenticación para test desde 192.168.122.1 Necesito que aparezcan en system.log. Actualmente solo muestra Feb 8 11:55:37 tests-iMac-Pro sshd: test [priv][360]: DEAD_PROCESS: 362 ttys001.
¿Por qué lo necesitas específicamente en system.log? Esa parece ser una pregunta completamente diferente.
¿Puedes enviarme alguna documentación reciente que explique este mágico ASL que parece no respetar ninguna de las opciones de configuración que le proporciono? He estado buscando durante horas y horas y, como alguien que ha estado usando Linux todos los días durante más de 5 años y trabajando en un trabajo de seguridad, con un título en Ciencias de la Computación, encuentro esto increíblemente confuso y me sorprende la cantidad de tiempo que he pasado investigando, encontrando solo información antigua e inexacta, cuando esto se puede lograr en 5 minutos en cualquier otro sistema operativo que he usado.
AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.
0 votos
Ver también: apple.stackexchange.com/questions/366791/… superuser.com/questions/1565891/…