Modificación de tipos de eventos de registros unificados

Documentación de implementación sin conexión de Jamf Protect
Solution
Application
Content Type
Documentación técnica
Utilities & Services
ft:locale
es-ES

Para los datos de Seguridad de macOS, se debe actualizar el tipo de evento base para que se pueda definir el valor de índice correcto.

Esto no es necesario para eventos de telemetría.

  1. Si usa Splunk Cloud, siga estos pasos:
    1. Vaya a Settings (Ajustes) > Event Types (Tipos de evento).
    2. Seleccione App.
    3. Seleccione Jamf Protect (TA-JamfProtect).
    4. Seleccione jamf_protect.
    5. En el campo Search String (cadena de búqueda), introduzca: index=CORRECTINDEX sourcetype=jamf:protect:logs
    6. Haga clic en Guardar.
  2. Si usa Splunk Enterprise, siga estos pasos:
    1. Abra el archivo default/eventtypes.conf y busque los ajustes de jamf_protect.
    2. Copie el ajuste de jamf_protect del ejemplo siguiente del archivo default/eventtypes.conf.
      Example:
      jamf_protect]
search = index=CORRECTINDEX sourcetype="jamf:protect:logs"
    3. Pegue el ajuste en el archivo local/eventtypes.conf. Sustituya index=CORRECTINDEX por el índice en el que estén sus datos de jamf:protect.
    4. Guarde el archivo local/eventtypes.conf.

El valor de índice del tipo de evento base debería ahora coincidir con su valor de índice deseado.