Я планирую иметь подмножество конечных пользователей, использующих Chromebook, и хочу загружать системные журналы для этих устройств в решение SIEM. Есть ли способ сделать это?
Я вижу из Документация Google что существует ручной процесс получения журналов, но я не вижу метода автоматической пересылки журналов в решение SIEM в режиме реального времени.
Реализация системного журнала Chrome OS - это rsyslog.
Хотя он может перенаправлять на удаленный компьютер, производственные Chromebook имеют rootfs только для чтения и проверяют его целостность. Режим разработчика для его изменения аннулирует ваши предупреждения о стиле гарантии из-за отключения подписанных изображений. Хотя это снижает безопасность больше, чем обычный Linux-сервер, что, безусловно, управляемо, оно лишает преимущества корневого доверия.
Возможно, вы могли бы улучшить Chromium OS для символической ссылки в конфигурации rsyslog в пользовательском хранилище. Проблема заключалась в том, чтобы убедить проект принять эту функцию.
В целом подумайте, какую ценность вы получите от системного журнала от хоста, неизменяемая операционная система которого является функцией.