Creación de un filtro de registro unificado

Documentación de implementación sin conexión de Jamf Protect
Solution
Application
Content Type
Documentación técnica
Utilities & Services
ft:locale
es-ES

El sistema de registro unificado de macOS proporciona una ubicación central para almacenar datos de registros en el Mac. Las apps Consola y Terminal permiten a los usuarios consultar, emitir y filtrar estos datos en ordenadores para solucionar errores o detectar amenazas manualmente.

Debe crear un filtro de predicado que recopila registros pertinentes para las necesidades de su organización. Los siguientes pasos muestran cómo usar Consola para identificar criterios que se pueden añadir a un filtro de predicado.

Warning:

No cree filtros de registros unificados que recopilen actividades de Jamf Protect. Esto genera un bucle de registro infinito que puede provocar un comportamiento inesperado.

  1. Abra la app Consola.
  2. Introduzca palabras clave pertinentes para los registros que quiere ver en el campo de búsqueda.
    Example:

    Si quiere ver todos los registros relacionados con eventos de inicio de sesión, introduzca loginwindow.

  3. Analice los resultados y siga refinando los criterios de búsqueda hasta que Consola solo muestre los registros oportunos.
    Example:

    Para acotar los criterios a solo inicios de sesión de usuario y no desbloqueos de pantalla, introduzca com.apple.sessionDidLogin y elija "Message" (Mensaje) en el filtro desplegable.

  4. Cree un filtro de predicado que incluya los criterios del paso 3.

    Este valor se usará para configurar un filtro de registro unificado en Jamf Protect.

    Example:
    El criterio de búsqueda que filtra inicios de sesión de usuario en el paso 3 se escribe como sigue en la sintaxis del predicado: 
    processImagePath contains "loginwindow" and eventMessage contains "com.apple.sessionDidLogin

    Para consultar una lista completa de claves admitidas en un filtro de predicado, ejecute el siguiente comando: log help predicates

  5. (Optional) Confirme que su filtro es correcto.
    1. Use Terminal para ejecutar un comando de registro que usa su predicado.
      Example: 
      log show --predicate 'processImagePath contains "loginwindow" and eventMessage contains "com.apple.sessionDidLogin"'
    2. Complete una tarea en el ordenador que generará un registro que cumple sus criterios de filtro.
    3. Confirme que la tarea genera una nueva entrada de registro en su sesión de Terminal.

Ahora tiene un filtro de predicado que se puede usar para configurar un filtro de registro unificado en Jamf Protect.