Configuration d'Apache HTTP Server avec syslog-ng

Vous pouvez configurer votre Apache HTTP Server pour qu'il transfère des événements avec le protocole syslog-ng.

Procédure

  1. Connectez-vous au serveur qui héberge Apache en tant que superutilisateur.
  2. Éditez le fichier de configuration Apache.

    /etc/httpd/conf/httpd.conf

  3. Ajoutez les informations suivantes au fichier de configuration Apache pour spécifier LogLevel:

    LogLevel info

    Le LogLevel peut déjà être configuré au niveau de l'information : cela dépend de votre installation d'Apache.

  4. Ajoutez les informations suivantes dans le fichier de configuration d'Apache pour spécifier le format de journal personnalisé :

    LogFormat "%h %A %l %u %t \"%r\" %>s %p %b" <log format name>

    Où <nom du format de journal> est un nom de variable que vous fournissez pour définir le format de journal personnalisé.

  5. Ajoutez les informations suivantes dans le fichier de configuration d'Apache pour spécifier un chemin personnalisé pour les événements syslog :

    CustomLog "|/usr/bin/logger -t 'httpd' -u /var/log/httpd/apache_log.socket" <log format name>

    Le nom du format de journal doit correspondre au nom du format de journal défini à l'étape 4.

  6. Sauvegardez le fichier de configuration Apache.
  7. Éditez le fichier de configuration syslog-ng.

    /etc/syslog-ng/syslog-ng.conf

  8. Ajoutez les informations suivantes pour indiquer la destination dans le fichier de configuration syslog-ng :
    source s_apache {
              unix-stream("/var/log/httpd/apache_log.socket" 
              max-connections(512)
              keep-alive(yes));
};
destination auth_destination { <udp|tcp> ("<IP address>" port(514)); };
log{
    source(s_apache);
    destination(auth_destination);
};
    Où :

    <IP address> est l'adresse IP de QRadar Console ou Event Collector.

    <udp|tcp> est le protocole que vous sélectionnez pour transmettre l'événement syslog.

  9. Enregistrez le fichier de configuration syslog-ng.
  10. Entrez la commande suivante pour redémarrer syslog-ng :

    service syslog-ng restart

  11. Vous pouvez maintenant configurer la source de journal dans QRadar.

    La configuration est terminée. La source de journal est ajoutée à QRadar car les événements syslog provenant des serveurs HTTP Apache sont automatiquement découverts. Les événements transmis à QRadar par Fidelis XPS s'affichent dans l'onglet Activité de journal de QRadar.