syslog での Apache HTTP Server の構成

syslog プロトコルでイベントを転送するように Apache HTTP Server を構成できます。

1. Apache をホストしているサーバーに root ユーザーとしてログインします。
2. Apache 構成ファイル httpd.confを編集します。
3. Apache 構成ファイルに以下の情報を追加し、カスタム・ログ・フォーマットを指定します。

   LogFormat "%h %A %l %u %t \"%r\" %>s %p %b" <log format name>

   ここで、 <log format name> は、ログ・フォーマットを定義するために指定する変数名です。

4. Apache 構成ファイルに以下の情報を追加し、syslog イベントのカスタム・パスを指定します。

   CustomLog "|/usr/bin/logger -t httpd -p <facility>.<priority>" <log format name>

   各項目の意味は次のとおりです。

   • <facility> は、syslog ファシリティ ( 例えば、local0 ) です。

   • <priority> は syslog 優先順位です。例えば、情報や通知などです。

   • <log format name> は、カスタム・ログ・フォーマットを定義するために指定する変数名です。 ログ・フォーマット名は、ステップ 3 で定義したログ・フォーマット名と一致する必要があります。

   例:

   CustomLog "|/usr/bin/logger -t httpd -p local1.info" MyApacheLogs

5. 以下のコマンドを入力して、 hostname ルックアップを無効にします。

   HostnameLookups off

6. Apache 構成ファイルを保存します。
7. syslog 構成ファイルを編集します。

   /etc/syslog.conf

8. 以下の情報を syslog 構成ファイルに追加します。

   <facility>.<priority> <TAB><TAB>@<host>

   各項目の意味は次のとおりです。

   • <facility> は、syslog 機能です ( 例 : local0) 。 この値は、ステップ 4 で入力した値と同じでなければなりません。
   • <priority> は、syslog 優先順位 ( 情報または通知など ) です。 この値は、ステップ 4 で入力した値と同じでなければなりません。
   • <TAB> は、Tab キーを押す必要があることを示します。
   • <host> は、QRadar ConsoleまたはEvent Collectorの IP アドレスです。
9. Syslog 構成ファイルを保存します。
10. 以下のコマンドを入力して syslog サービスを再始動します。

    /etc/init.d/syslog restart

11. Apache を再始動して syslog 構成を完了します。

    構成は完了です。 ログソースは、 HTTP からのsyslogイベントが自動的に検出されるため、 QRadar に追加されます。 HTTP から QRadar に転送されたイベントは、 QRadar の 「ログアクティビティ」タブに表示されます。