PostFix Mail Transfer Agent

IBM QRadar peut collecter et catégoriser les événements de messagerie syslog à partir de PostFix Mail Transfer Agents (MTA) installé sur votre réseau.

Pour collecter des événements syslog, vous devez configurer l'installation MTA PostFix pour transmettre les événements syslog à QRadar. QRadar ne reconnaît pas automatiquement les événements syslog qui sont transférés à partir des installations MTA PostFix car il s'agit d'événements multilignes. QRadar prend en charge les événements syslog de PostFix MTA V2.6.6.

Pour configurer PostFix MTA, procédez comme suit :

1. Sur votre système PostFix MTA, configurez syslog.conf pour transmettre les événements de messagerie à QRadar.
2. Sur votre système QRadar, créez une source de journal pour PostFix MTA pour utiliser le protocole UDP multiligne syslog.
3. Sur votre système QRadar, configurez IPtables pour rediriger les événements vers le port défini pour les événements syslog multiligne UDP.
4. Sur votre système QRadar, vérifiez que vos événements PostFix MTA s'affichent dans l'onglet Activité de journal.

Si vous disposez de plusieurs installations PostFix MTA où les événements vont vers différents systèmes QRadar, vous devez configurer une source de journal et IPtables pour chaque système QRadar qui reçoit des événements syslog UDP multiligne PostFix MTA.