Wenn Sie syslog auf einem UNIX-Host verwenden, um Ereignisse weiterzuleiten, aktualisieren Sie das Standard-syslog auf syslog-ng, eine aktuellere Version.
Vorgehensweise
- Melden Sie sich als Rootbenutzer bei Ihrem Linux® -Betriebssystemgerät an.
- Öffnen Sie die Datei /etc/syslog-ng/syslog-ng.conf und fügen Sie die folgenden Funktionsinformationen hinzu:
source qr_source {
internal();
system();
};
filter qr_filter {
facility(auth, authpriv);
};
destination qr_destination {
tcp("<qradar_ip_address>" port(514));
};
log{
source(qr_source);
filter(qr_filter);
destination(qr_destination);
};
Dabei gilt:
< qradar_ip_address> ist die IP-Adresse von IBM
QRadar.
- Speichern Sie die Datei.
- Starten Sie syslog-ng erneut, indem Sie den folgenden Befehl eingeben:
service syslog-ng restart
- Melden Sie sich bei QRadar
Consolean.
- Fügen Sie eine Linux -Protokollquelle auf dem QRadar
Consolehinzu.
Weitere Informationen zu syslog-ng finden Sie in der Linux -Dokumentation (https://www.linux.com/what-is-linux/).