Configuration d'Apache HTTP Server avec syslog

Vous pouvez configurer votre serveur Apache HTTP Server pour qu'il achemine des événements avec le protocole syslog.

A propos de cette tâche

La procédure suivante s'applique aux DSM Apache fonctionnant sur la plupart des systèmes d'exploitation UNIX ou Linux® . Consultez la documentation de votre fournisseur pour plus d'informations sur la configuration du serveur.

Procédure

  1. Connectez-vous au serveur qui héberge Apache en tant que superutilisateur.
  2. Editez le fichier de configuration Apache httpd.conf.
  3. Ajoutez les informations suivantes dans le fichier de configuration d'Apache pour spécifier le format de journal personnalisé :

    LogFormat "%h %A %l %u %t \"%r\" %>s %p %b" <log format name>

    Où <nom du format de journal> est un nom de variable que vous fournissez pour définir le format de journal.

  4. Ajoutez les informations suivantes dans le fichier de configuration d'Apache pour spécifier un chemin personnalisé pour les événements syslog :

    CustomLog "|/usr/bin/logger -t httpd -p <facility>.<priority>" <log format name>

    Où :

    • <installation> est une fonction syslog, par exemple, local0.

    • <priorité> est une priorité syslog, par exemple, info ou notice.

    • <nom du format de journal> est un nom de variable que vous fournissez pour définir le format de journal personnalisé. Le nom du format de journal doit correspondre au nom du format de journal défini à l'étape 3.

    Exemple :

    CustomLog "|/usr/bin/logger -t httpd -p local1.info" MyApacheLogs

  5. Entrez la commande suivante pour désactiver la recherche hostname :

    HostnameLookups off

  6. Sauvegardez le fichier de configuration Apache.
  7. Éditez le fichier de configuration syslog.

    /etc/syslog.conf

  8. Ajoutez les informations suivantes à votre fichier de configuration syslog :

    <facility>.<priority> <TAB><TAB>@<host>

    Où :

    • <installation> est l'installation syslog, par exemple local3. Cette valeur doit correspondre à la valeur que vous avez saisie à l'étape 4.
    • <priorité> est la priorité syslog, par exemple info. Cette valeur doit correspondre à la valeur que vous avez saisie à l'étape 4.
    • <TAB> indique que vous devez appuyer sur la touche Tab .
    • <hôte> est l'adresse IP de QRadar Console ou Event Collector.
  9. Enregistrez le fichier de configuration du collecteur.
  10. Entrez la commande suivante pour redémarrer le service syslog :

    /etc/init.d/syslog restart

  11. Redémarrez Apache pour terminer la configuration de syslog.

    La configuration est terminée. La source de journal est ajoutée à QRadar car les événements syslog provenant des serveurs HTTP Apache sont automatiquement découverts. Les événements transmis à QRadar par Fidelis XPS s'affichent dans l'onglet Activité de journal de QRadar.