Configuración de rsyslog en el sistema Linux

Para poder añadir un origen de registro en QRadar, debe configurar rsyslog en el sistema Linux® .

Antes de empezar

Rsyslog debe estar instalado en el sistema Linux . Para obtener más información, vaya al sitio web rsyslog (https://www.rsyslog.com).

Procedimiento

  1. En el sistema Linux , abra el archivo /etc/rsyslog.conf y, a continuación, añada la entrada siguiente al final del archivo: 
    local3.info @@<QRadar_IP_address>:12468
    donde < dirección_IP_QRadar> es la dirección IP del QRadar Event Collector al que desea enviar sucesos.
  2. Debe poder enviar rsyslog en un puerto TCP no tradicional. Un desafío potencial es que SELinux podría bloquear el puerto TCP 12468. Para obtener más información, consulte Configuración de rsyslog en un servidor de registro (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/s1-configuring_rsyslog_on_a_logging_server).
  3. Reinicie el servicio rsyslog.

Qué hacer a continuación

Configure osquery en el sistema Linux . Para obtener más información, consulte Configuración de osquery en el sistema Linux.