ISC BIND

IBM QRadar DSM for Internet System Consortium (ISC) BIND recopila sucesos de Syslog del dispositivo ISC BIND.

Realice los pasos siguientes para configurar ISC BIND para comunicarse con QRadar.

Acerca de esta tarea

Puede configurar syslog en el dispositivo ISC BIND para reenviar sucesos a QRadar.

Procedimiento

  1. Inicie sesión en el dispositivo ISC BIND.
  2. Abra el archivo siguiente para añadir una cláusula de registro:

    named.conf

    logging {

    channel <channel_name> {

    syslog <syslog_facility>;

    severity <critical | error | warning | notice | info | debug [level ] | dynamic >;

    print-category yes;

    print-severity yes;

    print-time yes;

    };

    category queries {

    <channel_name>;

    };

    category notify {

    <channel_name>;

    };

    category network {

    <channel_name>;

    };

    category client {

    <channel_name>;

    };

    };

    For Example:

    logging {

    channel QRadar {

    syslog local3;

    severity info;

    };

    category queries {

    QRadar;

    };

    category notify {

    QRadar;

    };

    category network {

    QRadar;

    };

    category client {

    QRadar;

    };

    };

  3. Guarde y salga del archivo.
  4. Edite la configuración de syslog para registrar en el QRadar utilizando el recurso que ha seleccionado en ISC BIND:

    <syslog_facility>.* @<IP_address>

    Donde <Dirección IP> es la dirección IP del QRadar.

    Por ejemplo:

    local3.* @<IP_address>

    Nota: QRadar sólo analiza los registros con un nivel de gravedad de información o superior.
  5. Reinicie los servicios siguientes.

    service syslog restart

    service named restart

Qué hacer a continuación

Añada un origen de registro en QRadar.