Citrix NetScaler

Aby zintegrować zdarzenia produktu Citrix NetScaler z produktem IBM® QRadar®, należy skonfigurować produkt Citrix NetScaler w taki sposób, aby przekazywał zdarzenia syslog.

Procedura

  1. Użyj protokołu SSH, zaloguj się do urządzenia Citrix NetScaler jako użytkownik root.
  2. Wpisz następującą komendę, aby dodać zdalny serwer syslog:

    add audit syslogAction <ActionName> <IP Address> -serverPort 514 -logLevel Info -dateFormat DDMMYYYY

    Gdzie:

    <ActionName> to opisowa nazwa działania serwera syslog.

    <Adres IP> to adres IP lub nazwa hosta produktu QRadar Console.

    Przykład:
    add audit syslogAction action-QRadar 192.0.2.1 -serverPort 514 -logLevel Info -dateFormat DDMMYYYY
  3. Wpisz następującą komendę, aby dodać strategię kontroli:

    add audit syslogPolicy <PolicyName> <reguła> <ActionName>

    Gdzie:

    <PolicyName> jest nazwą opisową dla strategii syslog.

    <Reguła> to reguła lub wyrażenie używane przez strategię. Jedyną obsługiwaną wartością jest ns_true.

    <ActionName> to opisowa nazwa działania serwera syslog.

    Przykład:
    add audit syslogPolicy policy-QRadar ns_true action-QRadar
  4. Wpisz następującą komendę, aby powiązać strategię globalnie:

    bind system global <PolicyName> -priority <Integer>

    Gdzie:

    <PolicyName> jest nazwą opisową dla strategii syslog.

    <Liczba całkowita> to wartość liczbowa, która jest używana do oceny priorytetu komunikatów dla wielu strategii komunikujących się przy użyciu syslog.

    Przykład:
    bind system global policy-QRadar -priority 30

    Jeśli wiele strategii ma priorytet (reprezentowany przez przypisaną do nich wartość liczbową), wartość niższej liczby jest wartościowana przed wartością wyższej liczby.

  5. Wpisz następującą komendę, aby zapisać konfigurację produktu Citrix NetScaler .

    save config

  6. Wpisz następującą komendę, aby sprawdzić, czy strategia została zapisana w konfiguracji:

    sh system global

    Uwaga: Informacje na temat konfigurowania dziennika syslog można znaleźć w interfejsie użytkownika produktu Citrix NetScaler (patrz http://support.citrix.com/article/CTX121728 ) lub w dokumentacji dostawcy.

    Konfiguracja została zakończona. Źródło dziennika jest dodawane do produktu QRadar , ponieważ zdarzenia Citrix NetScaler są wykrywane automatycznie. Zdarzenia przekazywane przez produkt Citrix NetScaler są wyświetlane na karcie Działanie rejestrowania w produkcie QRadar.