Recherche de données de sécurité macOS dans Splunk

Documentation relative au déploiement hors ligne de Jamf Protect
Solution
Application
Content Type
Documentation technique
Utilities & Services
ft:locale
fr-FR

Vous pouvez utiliser l’app Search & Reporting (Recherche et rapports) dans Splunk pour rechercher des données collectées par Splunk.

  1. Dans Splunk, cliquez sur l’app Search & Reporting (Recherche et rapports).
  2. Dans l’onglet Search (Rechercher), saisissez une recherche en utilisant le nom de votre collecteur d’événements HTTP source Jamf Protect :
    source="http:Your-Event-Collector"
  3. (Optional) Utilisez le menu contextuel à côté de la barre de recherche pour ajuster l’intervalle de temps.
  4. Appuyez sur Entrée ou cliquez sur le bouton Search (Recherche) .

Splunk affichera les événements de la base de données qui correspondent à vos critères de recherche.

Par exemple, la commande eventtype=jamf_protect_alerts | `core_table` renvoie un tableau des alertes Jamf Protect. Vous pouvez utiliser cette recherche pour vous assurer que Splunk est bien intégré à Jamf Protect.

source="JamfProtect"

Cet exemple a renvoyé sept événements, ce qui correspond au nombre d’alertes Jamf Protect communiquées au cours des dernières 24 heures.