Si vous utilisez syslog sur un hôte UNIX pour transmettre des événements, mettez à niveau le syslog standard vers syslog-ng, qui est une version plus récente.
Procédure
- Connectez-vous à votre appareil Linux® OS, en tant que superutilisateur.
- Ouvrez le fichier /etc/syslog-ng/syslog-ng.conf et ajoutez les informations de fonction suivantes:
source qr_source {
internal();
system();
};
filter qr_filter {
facility(auth, authpriv);
};
destination qr_destination {
tcp("<qradar_ip_address>" port(514));
};
log{
source(qr_source);
filter(qr_filter);
destination(qr_destination);
};
où :
<qradar_ip_address> est l'adresse IP de IBM
QRadar.
- Enregistrez le fichier.
- Redémarrez syslog-ng en entrant la commande suivante :
service syslog-ng restart
- Connectez-vous à QRadar
Console.
- Ajoutez une source de journal de système d'exploitation Linux sur le QRadar
Console.
Pour plus d'informations sur syslog-ng, voir la documentationLinux (https://www.linux.com/what-is-linux/).