PostFix Mail Transfer Agent

O IBM® QRadar pode coletar e categorizar eventos de e-mail syslog dos PostFix Mail Transfer Agents (MTA) instalados em sua rede.

Para coletar eventos de syslog, deve-se configurar a instalação do PostFix MTA para encaminhar eventos syslog para o QRadar. O QRadar não descobre automaticamente os eventos syslog que são encaminhados pelas instalações do PostFix MTA porque eles são eventos multilinhas. O QRadar suporta eventos syslog do PostFix MTA V2.6.6.

Para configurar o PostFix MTA, conclua as tarefas a seguir:

1. No sistema PostFix MTA, configure syslog.conf para encaminhar eventos de e-mail para o QRadar.
2. No sistema QRadar, crie uma origem de log para o PostFix MTA para usar o protocolo syslog multilinhas UDP.
3. No sistema QRadar, configure IPtables para redirecionar eventos para a porta definida para eventos syslog multilinhas UDP.
4. No sistema QRadar, verifique se os eventos PostFix MTA são exibidos na guia Atividade de log.

Se você tiver várias instalações do PostFix MTA em que os eventos vão para sistemas QRadar diferentes, deve-se configurar uma origem de log e IPtables para cada sistema QRadar que recebe eventos syslog UDP multilinhas do PostFix MTA.