Le système de journaux unifiés disponible dans macOS propose un emplacement central pour stocker les données de journaux sur le Mac. Les apps Console et Terminal permettent aux utilisateurs d’afficher, de diffuser et de filtrer ces données sur les ordinateurs pour dépanner manuellement les erreurs ou détecter les menaces.
Vous devez créer un filtre basé sur des prédicats, qui collecte les journaux correspondant aux besoins de votre organisation. Les étapes suivantes montrent comment utiliser Console pour identifier les critères pouvant être ajoutés à un filtre basé sur des prédicats.
Warning:Ne créez pas de filtres de journaux unifiés collectant les activités de Jamf Protect. Cela génère une boucle de journalisation infinie susceptible de provoquer un comportement inattendu.
- Ouvrez l’app Console.
- Saisissez des mots clés pertinents permettant de trouver les journaux que vous voulez afficher dans le champ de recherche.
Example:Si vous voulez afficher tous les journaux liés aux évènements de connexion, saisissez loginwindow.
- Analysez les résultats et continuez à affiner vos critères de recherche jusqu’à ce que seuls les journaux correspondant à vos besoins soient affichés dans la console.
Example:Pour restreindre les critères aux connexions de l’utilisateur uniquement et non aux déverrouillages de l’écran, saisissez com.apple.sessionDidLogin, puis sélectionnez dans la liste déroulante des filtres.
- Créez un filtre basé sur des prédicats contenant les critères utilisés à l’étape 3.
Cette valeur sera utilisée pour configurer un filtre pour les journaux unifiés dans Jamf Protect.
Example:Les critères de recherche qui filtrent les connexions de l’utilisateur à l’étape 3 sont rédigés comme suit dans la syntaxe des prédicats :
processImagePath contains "loginwindow" and eventMessage contains "com.apple.sessionDidLogin
Pour obtenir la liste complète des clés prises en charge pouvant être utilisées dans un filtre basé sur des prédicats, exécutez la commande suivante : log help predicates
- (Optional) Vérifiez que votre filtre est correct.
- Utilisez Terminal pour exécuter une commande « log » qui utilise votre prédicat.
Example:log show --predicate 'processImagePath contains "loginwindow" and eventMessage contains "com.apple.sessionDidLogin"'
- Sur votre ordinateur, effectuez une tâche qui générera un journal répondant à vos critères de filtres.
- Vérifiez que la tâche génère une nouvelle entrée de journal dans votre session Terminal.
Vous disposez maintenant d’un filtre basé sur des prédicats, qui peut être utilisé afin de configurer un filtre pour les journaux unifiés dans Jamf Protect.