監査ログを QRadarに送信するように Linux® OS を構成します。
このタスクについて
このタスクは、 Red Hat® Enterprise Linux (RHEL) v6 から v8 オペレーティング・システムに適用されます。
SUSE、Debian、または Ubuntu オペレーティング・システムをご使用の場合は、オペレーティング・システム固有の手順をベンダーの資料で参照してください。
手順
- root ユーザーとして Linux OS デバイスにログインします。
- 以下のコマンドを入力します。
yum install audit
service auditd start
chkconfig auditd on
- オプション: RHEL v6 から v7.9を使用している場合、 /etc/audisp/plugins.d/syslog.conf ファイルを開き、パラメーターが以下の値と一致することを確認します。
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_LOCAL6
format = string
- オプション: RHEL v8を使用している場合は、 /etc/audit/plugins.d/syslog.conf ファイルを開き、パラメーターが以下の値と一致することを確認します。
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_LOCAL6
format = string
- /etc/rsyslog.conf ファイルを開き、ファイルの末尾に以下の行を追加します。
local6.* @@<QRadar_Collector_IP_address>
- 以下のコマンドを入力します。
service auditd restart
service syslog restart
- QRadar
Consoleにログインします。
- QRadar
Consoleで Linux OS ログ・ソースを追加します。