この手順では、IBM® QRadar® 用の Check Point Multi-Domain Management (Provider-1) DSM が syslog を使用して Check Point Multi-Domain Management (Provider-1) イベントを確実に受け入れるようにします。
QRadar は、すべての関連する Check Point Multi-Domain Management (Provider-1) イベントを記録します。
以下のように、Check Point Multi-Domain Management (Provider-1) デバイスで syslog を構成します。
-
以下のコマンドを入力して、コンソールに expert ユーザーとしてアクセスします。
expert
パスワード・プロンプトが表示されます。
-
expert コンソールのパスワードを入力します。Enter キーを押します。
-
以下のコマンドを入力します。
-
必要な顧客のログを選択します。
-
以下のコマンドを入力します。
# nohup $FWDIR/bin/fw log -ftn | /usr/bin/logger -p
<facility>.<priority> 2>&1 &
各部分について以下で説明します。
- <facility> は、syslog のファシリティーです (例: local3)。
- <priority> は、syslog 優先順位です (例: info)。
これで、
QRadar でログ・ソースを構成する準備ができました。
構成は完了です。Check Point Multi-Domain Management Provider-1 の syslog イベントが自動的に検出されると、ログ・ソースが QRadar に追加されます。QRadar に転送されたイベントは、「ログ・アクティビティー」タブに表示されます。