Konfigurowanie serwera Apache HTTP Server za pomocą komendy syslog-ng

Serwer Apache HTTP Server można skonfigurować w taki sposób, aby przekazywały zdarzenia za pomocą protokołu syslog-ng.

Procedura

  1. Zaloguj się do serwera, który udostępnia serwer Apache, jako użytkownik root.
  2. Edytuj plik konfiguracyjny Apache .

    /etc/httpd/conf/httpd.conf

  3. Dodaj następujące informacje do pliku konfiguracyjnego Apache , aby określić LogLevel:

    LogLevel info

    LogLevel może być już skonfigurowany na poziomie informacji; zależy to od instalacji serwera Apache .

  4. Dodaj następujące informacje do pliku konfiguracyjnego Apache , aby określić niestandardowy format dziennika:

    LogFormat "%h %A %l %u %t \"%r\" %>s %p %b" <log format name>

    Gdzie <nazwa formatu dziennika> jest nazwą zmiennej, którą należy określić, aby zdefiniować niestandardowy format dziennika.

  5. Dodaj następujące informacje do pliku konfiguracyjnego Apache , aby określić niestandardową ścieżkę dla zdarzeń syslog:

    CustomLog "|/usr/bin/logger -t 'httpd' -u /var/log/httpd/apache_log.socket" <log format name>

    Nazwa formatu dziennika musi być zgodna z nazwą formatu dziennika, która jest zdefiniowana w kroku 4.

  6. Zapisz plik konfiguracyjny Apache .
  7. Zmodyfikuj plik konfiguracyjny syslog-ng.

    /etc/syslog-ng/syslog-ng.conf

  8. Dodaj następujące informacje, aby określić miejsce docelowe w pliku konfiguracyjnym syslog-ng:
    source s_apache {
              unix-stream("/var/log/httpd/apache_log.socket" 
              max-connections(512)
              keep-alive(yes));
};
destination auth_destination { <udp|tcp> ("<IP address>" port(514)); };
log{
    source(s_apache);
    destination(auth_destination);
};
    Gdzie:

    <IP address> jest adresem IP serwera QRadar® Console lub Event Collector.

    <udp|tcp> jest protokołem, który wybrano do przekazania zdarzenia dziennika syslog.

  9. Zapisz plik konfiguracyjny syslog-ng.
  10. Wpisz następującą komendę, aby zrestartować system syslog-ng:

    service syslog-ng restart

  11. Teraz można skonfigurować źródło dziennika w produkcie QRadar.

    Konfiguracja została zakończona. Źródło dziennika jest dodawane do produktu QRadar jako zdarzenia syslog z serwerów HTTP Apache są automatycznie wykrywane. Zdarzenia przekazywane do produktu QRadar przez serwery HTTP Apache są wyświetlane na karcie Działanie rejestrowania w produkcie QRadar.