Configurazione di syslog-ng su Linux OS

Se si utilizza syslog su un host UNIX per inoltrare gli eventi, aggiornare il syslog standard a syslog-ng, ovvero una versione più recente.

1. Accedi al tuo dispositivo OS Linux® , come utente root.
2. Apri il file /etc/syslog-ng/syslog-ng.conf e aggiungi le seguenti informazioni sulla funzione:

   source qr_source {
   	internal();
   	system();
   };
   filter qr_filter {
       facility(auth, authpriv);
   };
   destination qr_destination {
       tcp("<qradar_ip_address>" port(514));
   };
   log{
       source(qr_source);
       filter(qr_filter);
       destination(qr_destination);
   };

   dove:

   < qradar_ip_address> è l'indirizzo IP di IBM QRadar.

3. Salvare il file.
4. Riavviare syslog-ng digitando il seguente comando:
   service syslog-ng restart
5. Accedere a QRadar Console.
6. Aggiungere un'origine log SO Linux su QRadar Console.

   Per ulteriori informazioni su syslog-ng, consultare la documentazione diLinux (https://www.linux.com/what-is-linux/).