イベントを QRadarに転送するには、 IBM® Security Access Manager for Enterprise Single Sign-On アプライアンスで syslog 宛先を構成する必要があります。
手順
- IBM Security Access Manager for Enterprise Single Sign-Onの IMS 構成ユーティリティーにログインします。 例えば、 https://localhost:9043/webconfなどです。
- ナビゲーション・メニューから、「 」を選択します。
- 以下の Syslog パラメーター・オプションを構成します。
表 1. Syslog パラメーター
フィールド
|
説明
|
| Enable syslog |
「使用可能なテーブル (Available Tables)」リストから以下のテーブルを選択し、「追加 (Add)」をクリックする必要があります。
- logUserService
- logUserActivity
- logUserAdminActivity
|
| syslog サーバー・ポート |
イベントを QRadarに転送するために使用するポート番号として 514 を入力します。
|
| Syslog server hostname |
QRadar
Console または Event Collectorの IP アドレスまたはホスト名を入力します。
|
| Syslog ロギング・ファシリティー (Syslog logging facility) |
QRadarに転送されるイベントの機能を指定する整数値を入力します。 デフォルト値は 20 です。
|
| Syslog field-separator |
syslog ペイロード内の名前と値のペアの項目を区切るために使用する文字として ### と入力します。
|
- 構成を保存するには、 「更新」 をクリックします。
- IBM Security Access Manager for Enterprise Single Sign-On アプライアンスを再始動します。
結果
IBM Security Access Manager for Enterprise Single Sign-On syslog イベントが自動的に検出されると、ログ・ソースが QRadar に追加されます。 QRadar に転送されるイベントは、「 ログ・アクティビティー 」タブに表示されます。