Aby gromadzić zdarzenia z serwera HTTP ServerNGINX, należy skonfigurować urządzenie NGINX HTTP Server w celu przekazywania zdarzeń dziennika systemowego do produktu QRadar®.
Procedura
- Zaloguj się do urządzenia NGINX HTTP Server .
- Otwórz plik nginx.conf .
- Dodaj następujący łańcuch formatu LEEF pod http block. Więcej informacji na temat konfigurowania rejestrowania można znaleźć pod adresem https://docs.nginx.com/nginx/admin-guide/monitoring/logging/.
LEEF:1.0|NGINX|NGINX|$nginx_version|$status|devTime=$time_local\tdevTimeFormat=dd/MMM/yyyy:HH:mm:ss Z\tsrc=$remote_addr\tdst=$server_addr\tdstPort=$server_port\tproto=$server_protocol\tusrName=$remote_user\trequest=$request\tbody_bytes_sent=$body_bytes_sent\thttp_referer=$http_referer\thttp_true_client_ip=$http_true_client_ip\thttp_user_agent=$http_user_agent\thttp_x_header=$http_x_header\thttp_x_forwarded_for=$http_x_forwarded_for\trequest_time=$request_time\tupstream_response_time=$upstream_response_time\tpipe=$pipe\turi_query=$query_string\turi_path=$uri\tcookie=$http_cookie
- Dodaj następującą konfigurację serwera syslog w obszarze http block.
access_log syslog:server=QRadar_Server_IP:514,facility=Facility_Parameter qradar;
- Zapisz konfigurację.
- Aby sprawdzić konfigurację, wpisz następującą komendę:
- Jeśli NGINX jest uruchomiony, przeładuj konfigurację, wpisując następującą komendę: