Linux システムでの rsyslog の構成

QRadarでログ・ソースを追加する前に、 Linux® システムで rsyslog を構成する必要があります。

始める前に

Linux システムに Rsyslog がインストールされている必要があります。 詳しくは、 rsyslog Web サイト (https://www.rsyslog.com) にアクセスしてください。

手順

  1. ご使用の Linux システムで、 /etc/rsyslog.conf ファイルを開き、ファイルの末尾に以下のエントリーを追加します。 
    local3.info @@<QRadar_IP_address>:12468
    ここで、<QRadar_IP_address> は、イベントの送信先となるQRadar Event Collectorの IP アドレスです。
  2. 従来のものではない TCP ポートで rsyslog を送信できる必要があります。 考えられる問題として、SELinux で TCP ポート 12468 がブロックされることがあります。 詳しくは、 ロギング・サーバーでの rsyslog の構成 (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/s1-configuring_rsyslog_on_a_logging_server) を参照してください。
  3. rsyslog サービスを再始動します。

次に実行するタスク

Linux システムで osquery を構成します。 詳しくは、 Linux システムでの osquery の構成を参照してください。