Configuración de Apache HTTP Server con syslog-ng

Puede configurar Apache HTTP Server para reenviar sucesos con el protocolo syslog-ng.

Procedimiento

  1. Inicie sesión en el servidor que aloja Apache, como usuario root.
  2. Edite el archivo de configuración Apache .

    /etc/httpd/conf/httpd.conf

  3. Añada la información siguiente al archivo de configuración Apache para especificar el LogLevel:

    LogLevel info

    Es posible que el LogLevel ya esté configurado en el nivel de información; depende de la instalación de Apache .

  4. Añada lo siguiente al archivo de configuración Apache para especificar el formato de registro personalizado:

    LogFormat "%h %A %l %u %t \"%r\" %>s %p %b" <log format name>

    Donde <nombre de formato de registro> es un nombre de variable que se proporciona para definir el formato de registro personalizado.

  5. Añada la información siguiente al archivo de configuración Apache para especificar una vía de acceso personalizada para los sucesos de syslog:

    CustomLog "|/usr/bin/logger -t 'httpd' -u /var/log/httpd/apache_log.socket" <log format name>

    El nombre de formato de registro debe coincidir con el nombre de formato de registro definido en el paso 4.

  6. Guarde el archivo de configuración de Apache .
  7. Edite el archivo de configuración syslog-ng.

    /etc/syslog-ng/syslog-ng.conf

  8. Añada la información siguiente para especificar el destino en el archivo de configuración syslog-ng:
    source s_apache {
              unix-stream("/var/log/httpd/apache_log.socket" 
              max-connections(512)
              keep-alive(yes));
};
destination auth_destination { <udp|tcp> ("<IP address>" port(514)); };
log{
    source(s_apache);
    destination(auth_destination);
};
    Donde:

    <IP address> es la dirección IP de QRadar Console o Event Collector.

    <udp|tcp> es el protocolo que selecciona para reenviar el suceso syslog.

  9. Guarde el archivo de configuración syslog-ng.
  10. Escriba el mandato siguiente para reiniciar syslog-ng:

    service syslog-ng restart

  11. Ahora puede configurar el origen de registro en QRadar.

    La configuración se ha completado. La fuente de registro se añade a QRadar a medida que se descubren automáticamente los eventos syslog de los servidores HTTP Apache. Los eventos reenviados a QRadar por los servidores HTTP Apache se muestran en la pestaña Log Activity de QRadar.