Bevor Sie eine Protokollquelle in QRadarhinzufügen können, müssen Sie rsyslog auf Ihrem Linux® -System konfigurieren.
Vorbereitende Schritte
Rsyslog muss auf Ihrem Linux -System installiert sein. Weitere Informationen finden Sie auf der rsyslog-Website (https://www.rsyslog.com).
Vorgehensweise
- Öffnen Sie auf Ihrem Linux -System die Datei /etc/rsyslog.conf und fügen Sie dann den folgenden Eintrag am Ende der Datei hinzu:
local3.info @@<QRadar_IP_address>:12468
Dabei ist < QRadar_IP_address > die IP-Adresse des
QRadar Event Collector s, an den Sie Ereignisse senden möchten.
- Sie müssen rsyslog über einen nicht traditionellen TCP-Port senden können. Eine potenzielle Herausforderung besteht darin, dass SELinux möglicherweise TCP-Port 12468 blockiert. Weitere Informationen finden Sie unter Configuring rsyslog on a logging server (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/s1-configuring_rsyslog_on_a_logging_server).
- Starten Sie den rsyslog-Service neu.
Nächste Schritte
Konfigurieren Sie osquery auf Ihrem Linux -System. Weitere Informationen finden Sie unter Configuring osquery on your Linux system.