UNIX ホストで syslog を使用してイベントを転送する場合は、標準 syslog を最新バージョンの syslog-ng にアップグレードします。
手順
- root ユーザーとして Linux® OS デバイスにログインします。
- /etc/syslog-ng/syslog-ng.conf ファイルを開き、以下のファシリティー情報を追加します。
source qr_source {
internal();
system();
};
filter qr_filter {
facility(auth, authpriv);
};
destination qr_destination {
tcp("<qradar_ip_address>" port(514));
};
log{
source(qr_source);
filter(qr_filter);
destination(qr_destination);
};
パラメーターの説明は以下のとおりです。
<qradar_ip_address> は、 IBM
QRadarの IP アドレスです。
- ファイルを保存します。
- 以下のコマンドを入力して、Syslog-ng を再始動します。
service syslog-ng restart
- QRadar
Consoleにログインします。
- QRadar
Consoleで Linux OS ログ・ソースを追加します。
syslog-ng について詳しくは、 Linux の資料 (https://www.linux.com/what-is-linux/) を参照してください。