Agente de transferencia de correo de PostFix

IBM QRadar puede recopilar y categorizar sucesos de correo de syslog de PostFix Mail Transfer Agents (MTA) instalados en la red.

Para recopilar sucesos de syslog, debe configurar la instalación de MTA PostFix para reenviar sucesos de syslog a QRadar. QRadar no descubre automáticamente los sucesos de syslog que se reenvían desde las instalaciones MTA de PostFix ya que son sucesos de varias líneas. QRadar da soporte a sucesos de syslog de PostFix MTA V2.6.6.

Para configurar el MTA PostFix , realice las tareas siguientes:

1. En el sistema MTA PostFix , configure syslog.conf para reenviar sucesos de correo a QRadar.
2. En el sistema QRadar , cree un origen de registro para el MTA PostFix para utilizar el protocolo syslog multilínea UDP.
3. En el sistema QRadar , configure IPtables para redirigir los sucesos al puerto definido para los sucesos de syslog de varias líneas de UDP.
4. En el sistema QRadar , verifique que los sucesos MTA de PostFix se muestran en la pestaña Actividad de registro .

Si tiene varias instalaciones de MTA de PostFix donde los sucesos van a sistemas QRadar diferentes, debe configurar un origen de registro y IPtables para cada sistema QRadar que reciba sucesos de syslog UDP multilínea de MTA de PostFix .