Modification des types d’événements des journaux unifiés

Documentation relative au déploiement hors ligne de Jamf Protect
Solution
Application
Content Type
Documentation technique
Utilities & Services
ft:locale
fr-FR

Pour les données de sécurité macOS, le type d’événement de base doit être mis à jour pour pouvoir définir la valeur correcte de l’index.

Cela n’est pas nécessaire pour des événements de télémétrie.

  1. Si vous utilisez Splunk pour réaliser les opérations suivantes :
    1. Accédez à Settings (Réglages) > Event Types (Types d’événements).
    2. Sélectionnez App.
    3. Sélectionnez Jamf Protect (TA-JamfProtect).
    4. Sélectionnez jamf_protect.
    5. Dans le champ Chaîne de recherche, saisissez : index=CORRECTINDEX sourcetype=jamf:protect:logs
    6. Cliquez sur Save (Enregistrer).
  2. Si vous utilisez Splunk Enterprise, procédez comme suit :
    1. Ouvrez le fichier default/eventtypes.conf et localisez les réglages jamf_protect.
    2. Dans l’exemple ci-dessous, copiez le réglage jamf_protect depuis le fichier default/eventtypes.conf.
      Example:
      jamf_protect]
search = index=CORRECTINDEX sourcetype="jamf:protect:logs"
    3. Copiez le réglage dans le fichier local/eventtypes.conf. Remplacez index=CORRECTINDEX par l’index dans lequel se trouvent vos données jamf:protect.
    4. Enregistrez le fichier local/eventtypes.conf.

La valeur de l’index du type d’événement de base doit désormais correspondre à la valeur souhaitée pour l’index.