Linux ファイアウォールで必要なポートを開く

IBM Disconnected Log Collector が着信ログ・ソースを受信して IBM QRadarと通信できるように、一部のポートが Linux® ファイアウォールで開いている必要があります。 ルート権限を必要とせずに Disconnected Log Collector を使用できるように、ポート転送を有効にします。

このタスクについて

ポート 1 から 1023 は特権ポートであり、root 特権でプロセスを実行する必要があります。 Disconnected Log Collector は root として実行されないため、特権ログ・ソースの listen ポートを 非特権 ポートに転送する必要があります。 非特権ポートは 1024 以上です。

例えば、syslog ログ・ソースはポート 514 を使用します。 Disconnected Log Collector がログ・メッセージを受信できるようにするには、ポート 514 を非特権ポート (ポート 1514 など) に転送する必要があります。

手順

  1. Disconnected Log Collector コンピューターまたは VM に root ユーザーとしてログインします。
  2. 次のコマンドを入力してポートを開きます。
    firewall-cmd --zone=public --add-port=514/tcp --permanent
    構成に追加する新しいログ・ソースごとに、他のポートを開くことが必要になる可能性があります。
  3. 次のコマンドを入力してポートを転送します。
    firewall-cmd --zone=public --add-forward-port=port=514:proto=tcp:toport=1514 --permanent
    重要: 転送用のデフォルトの syslog ログ・ソース・ターゲット・ポートは 1514 です。 dlc.xml 構成ファイルに異なるターゲット・ポートを指定する場合は、ポート転送コマンドでこれを置換する必要があります。 ターゲット・ポート番号は 1024 以上でなければなりません。
  4. 次のコマンドを入力してファイアウォールを再ロードします。
    firewall-cmd --reload
  5. 次のコマンドを入力して、ポートが追加されていることを確認します。
    firewall-cmd --list-all