Apache HTTP Server mit syslog konfigurieren

Sie können Apache HTTP Server für die Weiterleitung von Ereignissen mit dem Syslog-Protokoll konfigurieren.

Informationen zu dieser Task

Die folgende Prozedur gilt für Apache -DSMs, die unter den meisten UNIX-oder Linux® -Betriebssystemen ausgeführt werden. Weitere Informationen zur Konfiguration des Servers finden Sie in der Dokumentation Ihres Anbieters.

Vorgehensweise

  1. Melden Sie sich als Rootbenutzer bei dem Server an, der Apachehostet.
  2. Bearbeiten Sie die Apache -Konfigurationsdatei httpd.conf.
  3. Fügen Sie die folgenden Informationen zur Konfigurationsdatei Apache hinzu, um das angepasste Protokollformat anzugeben:

    LogFormat "%h %A %l %u %t \"%r\" %>s %p %b" <log format name>

    Dabei ist <Protokollformatname> ein Variablenname, den Sie angeben, um das Protokollformat zu definieren.

  4. Fügen Sie die folgenden Informationen zur Konfigurationsdatei Apache hinzu, um einen angepassten Pfad für die Syslog-Ereignisse anzugeben:

    CustomLog "|/usr/bin/logger -t httpd -p <facility>.<priority>" <log format name>

    Dabei gilt Folgendes:

    • <Funktion> ist eine syslog-Funktion, z. B. local0.

    • <Priorität> ist eine syslog-Priorität, z. B. Info oder Hinweis.

    • <Protokollformatname> ist ein Variablenname, den Sie zur Definition des angepassten Protokollformats angeben. Der Protokollformatname muss mit dem in Schritt 3 definierten Protokollformatnamen übereinstimmen.

    Beispiel:

    CustomLog "|/usr/bin/logger -t httpd -p local1.info" MyApacheLogs

  5. Geben Sie den folgenden Befehl ein, um die Hostname -Suche zu inaktivieren:

    HostnameLookups off

  6. Speichern Sie die Apache -Konfigurationsdatei.
  7. Bearbeiten Sie die syslog-Konfigurationsdatei.

    /etc/syslog.conf

  8. Fügen Sie die folgenden Informationen zur syslog-Konfigurationsdatei hinzu:

    <facility>.<priority> <TAB><TAB>@<host>

    Dabei gilt Folgendes:

    • <Funktion> ist die syslog-Funktion, z. B. local0. Dieser Wert muss mit dem in Schritt 4 eingegebenen Wert übereinstimmen.
    • <Priorität> ist die syslog-Priorität, z. B. info oder notice. Dieser Wert muss mit dem in Schritt 4 eingegebenen Wert übereinstimmen.
    • <TAB> gibt an, dass Sie die Tabulatortaste drücken müssen.
    • <Host> ist die IP-Adresse von QRadar Console oder Event Collector.
  9. Speichern Sie die syslog-Konfigurationsdatei.
  10. Geben Sie den folgenden Befehl ein, um den syslog-Service neu zu starten:

    /etc/init.d/syslog restart

  11. Starten Sie Apache erneut, um die syslog-Konfiguration abzuschließen.

    Die Konfiguration ist abgeschlossen. Die Protokollquelle wird zu QRadar hinzugefügt, da Syslog-Ereignisse von HTTP automatisch erkannt werden. Ereignisse, die von HTTP an QRadar weitergeleitet werden, werden auf der Registerkarte "Protokollaktivität" von QRadar angezeigt.