macOS 上の Unified Logging システムは、Mac でログデータを保存するための一元的な場所を提供します。Console と Terminal App を利用すると、ユーザはコンピュータ上のこのデータの表示、ストリーミング、フィルタを行い、手動でエラーをトラブルシューティングしたり、脅威を検出したりできます。
組織のニーズに関連のあるログを収集する述語ベースのフィルタを作成する必要があります。以下の手順では、Console を使用して、述語フィルタに追加できるクライテリアを特定する方法を説明します。
Warning:Jamf Protect アクティビティを収集するユニファイドログフィルタを作成しないでください。無限ログループが発生し、予想外の動作につながる恐れがあります。
- Console App を開きます。
- 検索フィールドで表示するログに関連のあるキーワードを入力します。
Example:ログインイベントに関連するすべてのログを確認する場合は、loginwindow を入力します。
- 結果を分析し、ニーズに関連するログのみが Console に表示されるようになるまで、引き続き検索クライテリアの調整を続けます。
Example:画面のロック解除を行うのではなくユーザログインのみにクライテリアを絞り込むには、com.apple.sessionDidLogin を入力し、フィルタドロップダウンから を選択します。
- 手順 3 のクライテリアを含む述語ベースのフィルタを作成します。
Jamf Protect で Unified Logging フィルタを構成するために、この値が使用されます。
Example:手順 3 でユーザログインのためにフィルタリングする検索クライテリアは、以下のように述語構文に書き込まれます。
processImagePath contains "loginwindow" and eventMessage contains "com.apple.sessionDidLogin
述語ベースフィルタで使用できるサポートされているキーの完全なリストを確認するには、以下のコマンドを実行します。 log help predicates
- (Optional) フィルタが適切であることを確認してください。
- Terminal を使用して、述語を使用するログコマンドを実行します。
Example:log show --predicate 'processImagePath contains "loginwindow" and eventMessage contains "com.apple.sessionDidLogin"'
- フィルタクライテリアを満たすログを生成するコンピュータのタスクを完了します。
- タスクが Terminal セッションで新しいログエントリを生成することを確認します。
これで、Jamf Protect で Unified Logging フィルタを構成するために使用できる述語ベースのフィルタができます。