syslog-ng での Apache HTTP Server の構成
syslog-ng プロトコルでイベントを転送するように Apache HTTP Server を構成できます。
手順
- Apache をホストしているサーバーに root ユーザーとしてログインします。
- Apache 構成ファイルを編集します。
/etc/httpd/conf/httpd.conf
- 以下の情報を Apache 構成ファイルに追加して、 LogLevelを指定します。
LogLevel infoLogLevel は既に info レベルに構成されていることがあります。これは、ご使用の Apache インストール済み環境によって異なります。
- Apache 構成ファイルに以下を追加し、カスタム・ログ・フォーマットを指定します。
LogFormat "%h %A %l %u %t \"%r\" %>s %p %b" <log format name>ここで、 <log format name> は、カスタム・ログ・フォーマットを定義するために指定する変数名です。
- Apache 構成ファイルに以下の情報を追加し、syslog イベントのカスタム・パスを指定します。
CustomLog "|/usr/bin/logger -t 'httpd' -u /var/log/httpd/apache_log.socket" <log format name>ログ・フォーマット名は、ステップ 4 で定義したログ・フォーマット名と一致する必要があります。
- Apache 構成ファイルを保存します。
- syslog-ng 構成ファイルを編集します。
/etc/syslog-ng/syslog-ng.conf
- syslog-ng ファイルで以下の情報を追加して、宛先を指定します。
source s_apache { unix-stream("/var/log/httpd/apache_log.socket" max-connections(512) keep-alive(yes)); }; destination auth_destination { <udp|tcp> ("<IP address>" port(514)); }; log{ source(s_apache); destination(auth_destination); };各項目の意味は次のとおりです。<IP address>は、 QRadar Console または Event Collectorの IP アドレスです。<udp|tcp>は、syslog イベントを転送するために選択したプロトコルです。 - syslog-ng 構成ファイルを保存します。
- 以下のコマンドを入力して syslog-ng を再始動します。
service syslog-ng restart
- これで、 QRadarでログ・ソースを構成できます。
構成は完了です。 ログソースは、 HTTP からのsyslogイベントが自動的に検出されるため、 QRadar に追加されます。 HTTP から QRadar に転送されたイベントは、 QRadar の 「ログアクティビティ」タブに表示されます。