Configure el sistema operativo Linux® para enviar registros de auditoría a QRadar.
Acerca de esta tarea
Esta tarea se aplica a Red Hat® Enterprise Linux (RHEL) v6 a sistemas operativos v8 .
Si utiliza un sistema operativo SUSE, Debiano Ubuntu , consulte la documentación del proveedor para ver los pasos específicos de su sistema operativo.
Procedimiento
- Inicie sesión en el dispositivo del sistema operativo Linux , como usuario root.
- Escriba los mandatos siguientes:
yum install audit
service auditd start
chkconfig auditd on
- Opcional: Si utiliza RHEL v6 en v7.9, abra el archivo /etc/audisp/plugins.d/syslog.conf y verifique que los parámetros coinciden con los valores siguientes:
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_LOCAL6
format = string
- Opcional: Si utiliza RHEL v8, abra el archivo /etc/audit/plugins.d/syslog.conf y verifique que los parámetros coinciden con los valores siguientes:
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_LOCAL6
format = string
- Abra el archivo /etc/rsyslog.conf y añada la línea siguiente al final del archivo:
local6.* @@<QRadar_Collector_IP_address>
- Escriba los mandatos siguientes:
service auditd restart
service syslog restart
- Inicie sesión en la QRadar
Console.
- Añada un origen de registro del sistema operativo Linux en QRadar
Console.