アラートイベントタイプを変更する

Jamf Protect ドキュメント
Solution
Application
Content Type
テクニカル資料
Utilities & Services
ft:locale
ja-JP

macOS セキュリティデータでは、正しいインデックス値が設定されるように、基本のイベントタイプをアップデートする必要があります。

この操作は、テレメトリイベントには必要ありません。

  1. Splunk Cloud を使用する場合、以下の手順を実行します。
    1. 設定 (Settings) > イベントタイプ (Event Types) と移動します。
    2. アプリ (App) を選択します。
    3. Jamf Protect (TA-JamfProtect) を選択します。
    4. jamf_protect を選択します。
    5. ストリングを検索 (Search String) フィールドに以下を入力します。index=CORRECTINDEX sourcetype=jamf:protect:alertslogs
    6. 保存 (Save) をクリックします。
  2. Splunk Enterprise を使用する場合、以下の手順を実行します。
    1. default/eventtypes.conf ファイルを開き、jamf_protect 設定を見つけます。
    2. 以下の例の jamf_protect 設定を default/eventtypes.conf ファイルからコピーします。
      Example:
      [jamf_protect]
search = index=CORRECTINDEX sourcetype="jamf:protect:alerts"
    3. 設定を local/eventtypes.conf ファイルに貼り付けます。index=CORRECTINDEX を jamf:protect データが含まれるインデックスに置き換えます。
    4. local/eventtypes.conf ファイルを保存します。

これで、基本のイベントタイプのインデックス値が、目的のインデックス値と一致するはずです。