Um Ereignisse weiterzuleiten, QRadar müssen Sie auf Ihrer „ IBM® Verify Identity Access Manager for Enterprise Single Sign-On“-Appliance ein Syslog-Ziel konfigurieren.
Vorgehensweise
- Melden Sie sich beim Konfigurationsprogramm „ IMS “ für „ IBM Verify Identity Access Manager for Enterprise Single Sign-On“ an. Beispiel: https://localhost:9043/webconf.
- Wählen Sie im Navigationsmenü aus.
- Konfigurieren Sie die folgenden syslog-Parameteroptionen:
Tabelle 1. Syslog-Parameter
Feld
|
Beschreibung
|
| Enable syslog |
Wählen Sie in der Liste Verfügbare Tabellen die folgenden Tabellen aus und klicken Sie auf Hinzufügen.
- logUserService
- logUserActivity
- logUserAdminActivity
|
| Syslog-Server-Port |
Geben Sie 514 als Portnummer für die Weiterleitung von Ereignissen an QRadarein.
|
| Syslog server hostname |
Geben Sie die IP-Adresse oder den Hostnamen Ihrer QRadar
Console oder Event Collectorein.
|
| Syslog logging facility |
Geben Sie einen ganzzahligen Wert ein, um die Funktion der Ereignisse anzugeben, die an QRadarweitergeleitet werden. Der Standardwert ist 20.
|
| Syslog field-separator |
Geben Sie ### als Zeichen ein, die zum Trennen von Name/Wert-Paar-Einträgen in den Syslog-Nutzdaten verwendet werden.
|
- Klicken Sie auf Update , um die Konfiguration zu speichern.
- Starten Sie Ihre „ IBM Verify Identity Access Manager for Enterprise Single Sign-On“-Appliance neu.
Ergebnisse
Die Protokollquelle wird als QRadar „ IBM Verify “ hinzugefügt. Syslog-Ereignisse von Identity Access Manager für Enterprise Single Sign-On werden automatisch erkannt. Ereignisse, die an QRadar weitergeleitet werden, werden auf der Registerkarte Protokollaktivität angezeigt.