Puede configurar el dispositivo UNIX o Linux® para enviar sucesos de auditoría a IBM
QRadar. Los sucesos de auditoría están disponibles localmente en los registros de sucesos de syslog donde Centrify Infrastructure Services está instalado y configurado.
Procedimiento
- Inicie sesión en el dispositivo Centrify Infrastructure Services.
- Asegúrese de que syslog o rsyslog esté instalado:
- Para verificar que syslog está instalado, escriba service syslog status.
- Para verificar que rsyslog está instalado, escriba service rsyslog status.
- Si syslog o rsyslog no está instalado, instálelos utilizando el método preferido basado en el dispositivo UNIX o Linux . Por ejemplo, puede escribir el mandato siguiente para instalar rsyslog en un dispositivo Linux :
- Para reenviar sucesos a QRadar Event Collector, abra el archivo rsyslog.conf o el archivo syslog.conf que se encuentra en el directorio /etc/ y, a continuación, añada la línea siguiente:
:msg, contains, "AUDIT_TRAIL" @@<QRadar Event Collector
IP>:514
Ejemplo: :msg, contains, "AUDIT_TRAIL"
@@127.0.0.1:514
- Reinicie el servicio syslog o rsyslog:
- Si utiliza syslog, escriba service syslog restart.
- Si está utilizando rsyslog, escriba service rsyslog restart.
Nota: El agente Centrify Linux puede reenviar algunos mensajes del sistema Linux con los registros de seguimiento de auditoría. Si no se encuentra ninguna categoría específica, el tipo de origen de registro del sistema operativo Linux en QRadar descubre los mensajes de Linux y los normaliza como almacenados.