QRadar と通信するための NGINX HTTP Server の構成

NGINX HTTP Serverからイベントを収集するには、Syslog イベントを QRadarに転送するように NGINX HTTP Server デバイスを構成します。

手順

NGINX HTTP Server デバイスにログインします。
nginx.conf ファイルを開きます。

以下の LEEF 書式制御ストリングを http blockの下に追加します。ロギングの構成について詳しくは、「 https://docs.nginx.com/nginx/admin-guide/monitoring/logging/」を参照してください。

LEEF:1.0|NGINX|NGINX|$nginx_version|$status|devTime=$time_local\tdevTimeFormat=dd/MMM/yyyy:HH:mm:ss Z\tsrc=$remote_addr\tdst=$server_addr\tdstPort=$server_port\tproto=$server_protocol\tusrName=$remote_user\trequest=$request\tbody_bytes_sent=$body_bytes_sent\thttp_referer=$http_referer\thttp_true_client_ip=$http_true_client_ip\thttp_user_agent=$http_user_agent\thttp_x_header=$http_x_header\thttp_x_forwarded_for=$http_x_forwarded_for\trequest_time=$request_time\tupstream_response_time=$upstream_response_time\tpipe=$pipe\turi_query=$query_string\turi_path=$uri\tcookie=$http_cookie

http blockの下に以下の syslog サーバー構成を追加します。

access_log syslog:server=QRadar_Server_IP:514,facility=Facility_Parameter qradar;

構成を保存します。
構成を確認するには、以下のコマンドを入力します。
```
nginx -t
```
NGINX が実行されている場合は、以下のコマンドを入力して構成を再ロードします。
```
nginx -s reload
```