Antes de poder incluir uma origem de registro no QRadar, é necessário configurar o rsyslog no sistema Linux® .
Antes de iniciar
O Rsyslog deve ser instalado em seu sistema Linux . Para obter mais informações, acesse o website rsyslog (https://www.rsyslog.com).
Procedimento
- Em seu sistema Linux , abra o arquivo /etc/rsyslog.conf e, em seguida, adicio a seguinte entrada no final do arquivo:
local3.info @@<QRadar_IP_address>:12468
em que <QRadar_IP_address> é o endereço IP do
QRadar Event Collector para o qual você deseja enviar eventos.
- Deve-se estar apto a enviar o rsyslog em uma porta TCP não tradicional. Um desafio potencial é que o
SELinux pode bloquear a porta TCP 12468. Para obter mais informações, consulte Configurando o rsyslog em um servidor de registro de logs (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/s1-configuring_rsyslog_on_a_logging_server).
- Reinicie o serviço rsyslog.
O que fazer a seguir
Configurar osquery em seu sistema Linux . Para obter mais informações, consulte Configurando a osquery em seu sistema Linux.