Configuration de rsyslog sur votre système Linux

Avant de pouvoir ajouter une source de journal dans QRadar, vous devez configurer rsyslog sur votre système Linux® .

Avant de commencer

Rsyslog doit être installé sur votre système Linux . Pour plus d'informations, accédez au site Web rsyslog (https://www.rsyslog.com).

Procédure

  1. Sur votre système Linux , ouvrez le fichier /etc/rsyslog.conf , puis ajoutez l'entrée suivante à la fin du fichier: 
    local3.info @@<QRadar_IP_address>:12468
    where <QRadar_IP_address> est l'adresse IP du QRadar Event Collector auquel vous souhaitez envoyer des événements.
  2. Vous devez pouvoir envoyer rsyslog sur un port TCP non traditionnel. Une difficulté potentielle est que SELinux peut bloquer le port TCP 12468. Pour plus d'informations, voir Configuration de rsyslog sur un serveur de journalisation (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/s1-configuring_rsyslog_on_a_logging_server).
  3. Redémarrez le service sshd.

Etape suivante

Configurez osquery sur votre système Linux . Pour plus d'informations, voir Configuration d'osquery sur votre système Linux.