PostFix メール転送エージェント

IBM QRadar は、ネットワークにインストールされている PostFix メール転送エージェント (MTA) から syslog メール・イベントを収集して分類することができます。

syslog イベントを収集するには、syslog イベントを QRadarに転送するように PostFix MTA インストール済み環境を構成する必要があります。 QRadar は、 PostFix MTA インストール済み環境から転送された syslog イベントを自動的に検出することはありません。これらは複数行イベントであるためです。 QRadar は、 PostFix MTA V2.6.6からの syslog イベントをサポートします。

PostFix MTA を構成するには、以下の作業を行います。

PostFix MTA システムで、メール・イベントを QRadarに転送するように syslog.conf を構成します。
QRadar システムで、UDP 複数行 Syslog プロトコルを使用する PostFix MTA のログ・ソースを作成します。
QRadar システムで、UDP 複数行 Syslog イベント用に定義されたポートにイベントをリダイレクトするように IPtables を構成します。
QRadar システムで、 PostFix MTA イベントが「ログ・アクティビティー」タブに表示されていることを確認します。

イベントが異なる QRadar システムに送信される複数の PostFix MTA インストール済み環境がある場合は、 PostFix MTA 複数行 UDP syslog イベントを受信する QRadar システムごとに、ログ・ソースと IPtables を構成する必要があります。