Prima di poter aggiungere un'origine log in QRadar, è necessario configurare rsyslog nel proprio sistema Linux® .
Prima di iniziare
Rsyslog deve essere installato sul tuo sistema Linux . Per ulteriori informazioni, visitare il sito web rsyslog (https://www.rsyslog.com).
Procedura
- Sul tuo sistema Linux , aprire il file /etc/rsyslog.conf , quindi aggiungere la seguente voce alla fine del file:
local3.info @@<QRadar_IP_address>:12468
dove < QRadar_IP_address> è l'indirizzo IP del
QRadar Event Collector a cui si desidera inviare gli eventi.
- È necessario essere in grado di inviare rsyslog su una porta TCP non tradizionale. Una potenziale sfida è che SELinux potrebbe bloccare la porta TCP 12468. Per ulteriori informazioni, consultare Configurazione di rsyslog su un server di registrazione (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/s1-configuring_rsyslog_on_a_logging_server).
- Riavviare il servizio rsyslog.
Operazioni da eseguire successivamente
Configurare l'osquery sul proprio sistema Linux . Per ulteriori informazioni, vedi Configurazione di osquery sul sistema Linux.