Bevor Sie eine Protokollquelle in QRadarhinzufügen können, müssen Sie osquery auf Ihrer Linux -Einheit konfigurieren.
Vorbereitende Schritte
Osquery V3.3.2 muss auf Ihrem Linux -System installiert und aktiv sein. Weitere Informationen zur Installation von osquery für Linuxfinden Sie unter Downloading and Installing Osquery (https://osquery.io/downloads/official/3.3.2).
Vorgehensweise
- Laden Sie die Datei qradar.pack.conf von IBM Fix Central herunter (https://www.ibm.com/support/fixcentral).
- Kopieren Sie die Datei qradar.pack.conf auf Ihren osquery-Host. Beispiel: <location_of_pack_file>/qradar.pack.conf
- Bearbeiten Sie die Datei osquery.conf . Die Standarddateiposition ist /etc/osquery/osquery.conf.
- Stellen Sie sicher, dass die Datei osquery.conf die folgenden Optionen enthält.
"disable_logging": "false"
"disable_events" : "false"
"logger_plugin": "filesystem,syslog"
- Fügen Sie qradar.pack.conf zur Datei osquery.conf hinzu.
"qradar": "/<path_to_packs>/qradar.pack.conf"
Beispiel für die Datei < osquery>.conf:
{ // Configure the daemon below: "options": { "disable_logging": "false", "disable_events" : "false", "logger_plugin": "filesystem,syslog", "utc": "true" }, "packs": { "qradar": "<location_of_pack_file>/qradar.pack.conf" }}
Hinweis: Die Datei qradar.pack.conf enthält einen Abschnitt “file_paths” , der die Standardüberwachung der Dateiintegrität für das QRadar -Paket definiert. “file_paths” , die in Kundendateien <osquery>.conf definiert sind, haben Vorrang vor der Datei qradar.pack.conf .
- Starten Sie den osquery-Dämon erneut.
Nächste Schritte
Informationen zum Abrufen der Parameterwerte, die Sie zum Hinzufügen einer Protokollquelle in QRadarbenötigen, finden Sie unter osquery log source parameters.