Configuración de Apache HTTP Server con syslog

Puede configurar Apache HTTP Server para reenviar sucesos con el protocolo syslog.

Acerca de esta tarea

El procedimiento siguiente se aplica a los DSM de Apache que operan en la mayoría de sistemas operativos UNIX o Linux® . Consulte la documentación del proveedor para obtener más información sobre cómo configurar el servidor.

Procedimiento

  1. Inicie sesión en el servidor que aloja Apache, como usuario root.
  2. Edite el archivo de configuración Apache httpd.conf.
  3. Añada la información siguiente en el archivo de configuración Apache para especificar el formato de registro personalizado:

    LogFormat "%h %A %l %u %t \"%r\" %>s %p %b" <log format name>

    Donde <nombre de formato de registro> es un nombre de variable que se proporciona para definir el formato de registro.

  4. Añada la información siguiente en el archivo de configuración Apache para especificar una vía de acceso personalizada para los sucesos de syslog:

    CustomLog "|/usr/bin/logger -t httpd -p <facility>.<priority>" <log format name>

    Donde:

    • <recurso> es un recurso syslog, por ejemplo, local0.

    • <priority> es una prioridad de syslog, por ejemplo, info o notice.

    • <nombre de formato de registro> es un nombre de variable que se proporciona para definir el formato de registro personalizado. El nombre de formato de registro debe coincidir con el nombre de formato de registro definido en el paso 3.

    Por ejemplo:

    CustomLog "|/usr/bin/logger -t httpd -p local1.info" MyApacheLogs

  5. Escriba el mandato siguiente para inhabilitar la búsqueda hostname :

    HostnameLookups off

  6. Guarde el archivo de configuración de Apache .
  7. Edite el archivo de configuración de syslog.

    /etc/syslog.conf

  8. Añada la información siguiente al archivo de configuración de syslog:

    <facility>.<priority> <TAB><TAB>@<host>

    Donde:

    • <recurso> es el recurso syslog, por ejemplo, local0. Este valor debe coincidir con el valor que ha escrito en el paso 4.
    • <priority> es la prioridad de syslog, por ejemplo, info o notice. Este valor debe coincidir con el valor que ha escrito en el paso 4.
    • <TAB> indica que debe pulsar la tecla Tabulador .
    • <host> es la dirección IP de QRadar Console o Event Collector.
  9. Guarde el archivo de configuración de syslog.
  10. Escriba el mandato siguiente para reiniciar el servicio syslog:

    /etc/init.d/syslog restart

  11. Reinicie Apache para completar la configuración de syslog.

    La configuración se ha completado. La fuente de registro se añade a QRadar a medida que se descubren automáticamente los eventos syslog de los servidores HTTP Apache. Los eventos reenviados a QRadar por los servidores HTTP Apache se muestran en la pestaña Log Activity de QRadar.