Microsoft DHCP Server DSM for IBM
QRadar accepte les événements DHCP à l'aide du protocole Microsoft DHCP Server ou WinCollect.
A propos de cette tâche
Avant de pouvoir intégrer votre serveur Microsoft DHCP Server à QRadar, vous devez activer la consignation dans le journal d'audit.
Pour configurer le serveur Microsoft DHCP:
Procédure
- Connectez-vous à l'outil d'administration de serveur DHCP.
- Dans l'outil d'administration DHCP, cliquez avec le bouton droit de la souris sur le serveur DHCP et sélectionnez Propriétés.
La fenêtre Propriétés s'affiche.
- Cliquez sur l'onglet Général .
Le volet Général s'affiche.
- Cliquez sur Activer la journalisation d'audit DHCP.
Le fichier journal d'audit est créé à minuit et doit contenir une abréviation de trois caractères du jour de la semaine.
Tableau 1. Exemples de fichier journal Microsoft DHCP
Type de journal
|
Exemple
|
IPv4
|
DhcpSrvLog-Mon.log
|
IPv6
|
DhcpV6SrvLog-Wed.log
|
Par défaut, Microsoft DHCP est configuré pour écrire les journaux d'audit dans le répertoire %WINDIR%\system32\dhcp\ .
- Redémarrez le service DHCP.
- Vous pouvez maintenant configurer la source de journal et le protocole dans QRadar.
- Pour configurer QRadar afin de recevoir des événements d'un serveur DHCP Microsoft, vous devez sélectionner l'option Serveur DHCP Microsoft dans la liste Type de source de journal .
- Pour configurer le protocole, vous devez sélectionner l'option Microsoft DHCP dans la liste Configuration de protocole.
Remarque: Pour intégrer Microsoft DHCP Server versions 2000/2003 à QRadar à l'aide de WinCollect, voir IBM
QRadar WinCollect User Guide.