オープン・ソース SNORT デバイスで syslog を構成するには、以下を実行します。
このタスクについて
以下の手順は、Red Hat Enterprise を実行するシステムに該当します。 他のオペレーティング・システムでは、手順が異なる場合があります。
手順
- リモート・システムで SNORT を構成します。
- snort.conf ファイルを開きます。
- 以下の行のコメントを外します。
output alert_syslog:LOG_AUTH LOG_INFO
- ファイルを保存して終了します。
- 以下のファイルを開きます。
- 例に示すように、以下の行に -s を追加します。
daemon /usr/sbin/snort $ALERTMODE
$BINARY_LOG $NO PACKET_LOG $DUMP_APP -D
$PRINT_INTERFACE -i $i -s -u $USER -g
$GROUP $CONF -i $LOGIR/$i $PASS_FIRST
daemon /usr/sbin/snort $ALERTMODE
$BINARY_LOG $NO_PACKET_LOG $DUMP_APP -D
$PRINT_INTERFACE $INTERFACE -s -u $USER -g
$GROUP $CONF -i $LOGDIR
- ファイルを保存して終了します。
- 以下のコマンドを入力して、SNORT を再始動します。
/etc/init.d/snortd restart
- syslog.conf ファイルを開きます。
- 以下のコードが反映されるようにファイルを更新します。
auth.info@<IP Address>
ここで、 <IP Address> は、ログを送信する先のシステムです。
- ファイルを保存して終了します。
- syslog を再始動します。
/etc/init.d/syslog restart
次に実行するタスク
これで、 QRadarでログ・ソースを構成できます。