Configurando o Linux OS para enviar logs de auditoria

Configure o Linux® OS para enviar logs de auditoria para o QRadar.

Sobre esta tarefa

Esta tarefa se aplica ao Red Hat® Enterprise Linux (RHEL) v6 a sistemas operacionais v8 .

Se você usa um sistema operacional SUSE, Debian ou Ubuntu, consulte a documentação do fornecedor para obter as etapas específicas do seu sistema operacional.

Procedimento

  1. Faça login em seu dispositivo Linux OS, como um usuário root.
  2. Digite os comandos a seguir:

    yum install audit

    service auditd start

    chkconfig auditd on

  3. Opcional: Se você estiver usando o RHEL v6 para v7.9, abra o arquivo /etc/audisp/plugins.d/syslog.conf e verifique se os parâmetros correspondem aos seguintes valores:

    active = yes

    direction = out

    path = builtin_syslog

    type = builtin

    args = LOG_LOCAL6

    format = string

  4. Opcional: Se você estiver usando o RHEL v8, abra o arquivo /etc/audit/plugins.d/syslog.conf e verifique se os parâmetros correspondem aos seguintes valores:

    active = yes

    direction = out

    path = builtin_syslog

    type = builtin

    args = LOG_LOCAL6

    format = string

  5. Abra o arquivo /etc/rsyslog.conf e adiciote a linha a seguir no final do arquivo:
    local6.* @@<QRadar_Collector_IP_address>
  6. Digite os comandos a seguir:

    service auditd restart

    service syslog restart

  7. Efetue login no QRadar Console.
  8. Inclua uma origem de log do SO Linux no QRadar Console.