修改警示事件類型

Jamf Protect 說明文件
Solution
Application
Content Type
技術說明文件
Utilities & Services
ft:locale
zh-TW

對於macOS安全性資料,需要更新基本事件類型,以便設定正確的索引值。

對於遙測事件來說,這不是必要的。

  1. 如果您使用Splunk Cloud,請執行以下操作:
    1. 前往Settings(設定) > Event Types(事件類型)
    2. 選取App
    3. 選取Jamf Protect(TA-JamfProtect)
    4. 選取jamf_protect
    5. Search String(搜尋字串)欄位中,輸入:index=CORRECTINDEX sourcetype=jamf:protect:alertslogs
    6. 按一下儲存
  2. 如果您使用Splunk Enterprise,請執行以下操作:
    1. 開啟default/eventtypes.conf檔案並尋找jamf_protect設定。
    2. default/eventtypes.conf檔案複製以下範例中的jamf_protect設定。
      Example:
      [jamf_protect]
search = index=CORRECTINDEX sourcetype="jamf:protect:alerts"
    3. 將設定貼到local/eventtypes.conf檔案中。以jamf:protect資料所在的索引取代index=CORRECTINDEX
    4. 儲存local/eventtypes.conf檔。

基本事件類型索引值現在應該與您所需的索引值相符。