syslog を使用した Check Point の統合

このセクションでは、IBM® QRadar® Check Point DSM が syslog を使用して Check Point イベントを受け入れるようにする方法について説明します。

Check Point デバイスと統合するように IBM QRadar を構成するには、以下のステップを実行する必要があります。

1. 以下のコマンドを入力し、expert ユーザーとして Check Point コンソールにアクセスします。

   expert

   パスワード・プロンプトが表示されます。

2. expert コンソールのパスワードを入力します。Enter キーを押します。
3. 以下のファイルを開きます。

   /etc/rc.d/rc3.d/S99local

4. 以下の行を追加します。

   $FWDIR/bin/fw log -ftn | /usr/bin/logger -p <facility>.<priority> /dev/null 2>&1 &

   各部分について以下で説明します。

   • <facility> は、Syslog のファシリティーです (例: local3)。
   • <priority> は、syslog 優先順位です (例: info)。

   例えば、以下のようにします。

   $FWDIR/bin/fw log -ftn | /usr/bin/logger -p local3.info > /dev/null 2>&1 &

5. ファイルを保存して閉じます。
6. syslog.conf ファイルを開きます。
7. 以下の行を追加します。

   <facility>.<priority> <TAB><TAB>@<host>

   各部分について以下で説明します。

   • <facility> は、Syslog のファシリティーです (例: local3)。この値は、ステップ 4 で入力した値と同じでなければなりません。
   • <priority> は、Syslog 優先順位です (例: info や notice)。この値は、ステップ 4 で入力した値と同じでなければなりません。

   <TAB> は、Tab キーを押す必要があることを示します。

   <host> は QRadar コンソールまたは管理対象ホストを示します。

8. ファイルを保存して閉じます。
9. 以下のコマンドを入力して syslog を再開します。
   • Linux® の場合: service syslog restart
   • Solaris の場合: /etc/init.d/syslog start
10. 以下のコマンドを入力します。

    nohup $FWDIR/bin/fw log -ftn | /usr/bin/logger -p <facility>.<priority> > /dev/null 2>&1 &

    各部分について以下で説明します。

    • <facility> は、Syslog のファシリティーです (例: local3)。この値は、ステップ 4 で入力した値と同じでなければなりません。
    • <priority> は、Syslog 優先順位です (例: info)。この値は、ステップ 4 で入力した値と同じでなければなりません。

構成は完了です。Check Point の syslog イベントが自動的に検出されると、ログ・ソースが QRadar に追加されます。QRadar に転送されたイベントは、「ログ・アクティビティー」タブに表示されます。