Konfigurowanie rsyslog w systemie Linux

Zanim możliwe będzie dodanie źródła dziennika w programie QRadar®, należy skonfigurować rsyslog w systemie Linux® .

Zanim rozpoczniesz

Dziennik Rsyslog musi być zainstalowany w systemie Linux . Więcej informacji na ten temat zawiera serwis WWW rsyslog (https://www.rsyslog.com).

Procedura

  1. W systemie Linux otwórz plik /etc/rsyslog.conf , a następnie dodaj następujący wpis na końcu pliku: 
    local3.info @@<QRadar_IP_address>:12468
    gdzie < QRadar_IP_address > jest adresem IP QRadar Event Collector , do którego mają być wysyłane zdarzenia.
  2. Należy mieć możliwość wysyłania dziennika rsyslog na nietradycyjnym porcie TCP. Potencjalne wyzwanie polega na tym, że SELinux może blokować port TCP 12468. Więcej informacji na ten temat zawiera sekcja Konfigurowanie rsyslog na serwerze rejestrowania (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/s1-configuring_rsyslog_on_a_logging_server).
  3. Zrestartuj usługę rsyslog.

Co dalej

Skonfiguruj osquery w systemie Linux . Więcej informacji na ten temat zawiera sekcja Konfigurowanie osquery w systemie Linux.