在 Linux 系統上配置 rsyslog

您需要先在 Linux® 系統上配置 rsyslog ,然後才能在 QRadar®中新增日誌來源。

在開始之前

Rsyslog 必須安裝在 Linux 系統上。 如需相關資訊,請跳至 rsyslog 網站 (https://www.rsyslog.com)。

程序

  1. 在 Linux 系統上,開啟 /etc/rsyslog.conf 檔案,然後在檔案結尾新增下列項目: 
    local3.info @@<QRadar_IP_address>:12468
    where <QRadar_IP_address> is the IP address of the QRadar Event Collector that you want to send events to.
  2. 您必須能夠在非傳統 TCP 埠上傳送 rsyslog。 潛在的挑戰是 SELinux 可能會封鎖 TCP 埠 12468。 如需相關資訊,請參閱 在記載伺服器上配置 rsyslog (https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html/system_administrators_guide/s1-configuring_rsyslog_on_a_logging_server)。
  3. 重新啟動 rsyslog 服務。

下一步做什麼

在 Linux 系統上配置 osquery。 如需相關資訊,請參閱 在 Linux 系統上配置 osquery