Konfigurowanie programu McAfee Web Gateway do komunikowania się z produktem IBM QRadar (protokół pliku dziennika)

Urządzenie McAfee Web Gateway udostępnia opcję przekazywania plików dziennika zdarzeń do tymczasowego serwera plików w celu pobrania przez produkt QRadar®.

Procedura

  1. Z serwisu WWW wsparcia pobierz następujący plik:

    log_handlers-1.1.tar.gz

  2. Wyodrębnij plik.

    Spowoduje to udostępnienie pliku procedury obsługi dostępu, który jest potrzebny do skonfigurowania urządzenia McAfee Web Gateway.

    access_log_file_loghandler.xml

  3. Zaloguj się do konsoli bramy WWW McAfee .
  4. Za pomocą paska narzędzi menu kliknij opcję Strategia.
    Uwaga: Jeśli w urządzeniu McAfee Web Gateway istnieje konfiguracja protokołu dostępu, przed dodaniem access_log_file_loghandler.xmlnależy usunąć istniejący dziennik dostępu z biblioteki zestawu reguł .
  5. Kliknij opcję Procedura obsługi dziennika.
  6. Użyj drzewa menu, wybierz opcję Domyślne.
  7. Z listy Dodaj wybierz opcję Zestaw reguł z biblioteki.
  8. Kliknij przycisk Importuj z pliku .
  9. Przejdź do katalogu, który zawiera pobrany plik access_log_file_loghandler.xml , a następnie wybierz syslog_loghandler.xml jako plik do zaimportowania.

    Jeśli zestaw reguł jest importowany dla produktu access_log_file_loghandler.xml, może wystąpić konflikt z informacją o tym, że konfiguracja dziennika dostępu już istnieje w bieżącej konfiguracji, a rozwiązanie konfliktu jest wyświetlane.

  10. Jeśli urządzenie McAfee Web Gateway wykryje, że istnieje już konfiguracja dziennika dostępu, wybierz opcję Rozwiązanie konfliktu: Zmień nazwę , która jest prezentowana w celu rozstrzygnięcia konfliktu zestawu reguł.

    Więcej informacji na temat rozwiązywania konfliktów można znaleźć w dokumentacji McAfee Web Gateway vendor.

    Należy skonfigurować plik access.log w taki sposób, aby był on przesyłany do serwera tymczasowego na automatycznej rotacji. Nie ma znaczenia, czy pliki zostaną wepchane do serwera tymczasowego na podstawie czasu lub wielkości pliku access.log . Więcej informacji na temat automatycznej rotacji można znaleźć w dokumentacji dostawcy bramy WWW McAfee Web Gateway.

    Uwaga: Ze względu na wielkość generowanych plików access.log zaleca się wybranie plików opcji GZIP po rotacji w urządzeniu McAfee Web Gate.
  11. Kliknij przycisk OK.
  12. Kliknij przycisk Zapisz zmiany.
    Uwaga: Domyślnie brama WWW McAfee jest skonfigurowana w taki sposób, aby zapisywać dzienniki dostępu do katalogu /opt/mwg/log/user-defined-logs/access.log/ .

Co dalej

Teraz można skonfigurować produkt QRadar do odbierania plików access.log z bramy WWW McAfee Web Gateway. Więcej informacji na ten temat zawiera sekcja Pulowanie danych przy użyciu protokołu pliku dziennika.