我计划让一部分最终用户运行 Chromebook,并希望将这些设备的系统日志采集到 SIEM 解决方案中。有什么办法吗?
我看到Google 文档有一个手动检索日志的过程,但是我没有看到实时自动将日志转发到 SIEM 解决方案的方法。
答案1
虽然它能够转发到远程,但生产版 Chromebook 具有只读根文件系统并验证其完整性。由于禁用签名图像,更改它的开发者模式会使您的保修样式警告失效。虽然这会降低安全性,使其更像普通的 Linux 机器,这当然是可管理的,但它消除了信任根的优势。
也许您可以增强 Chromium OS 以在用户存储中的 rsyslog 配置中进行符号链接。 挑战在于说服项目采用该功能。
总的来说,考虑一下您可以从具有不可变操作系统功能的主机的 syslog 中获得什么价值。