您必須先在 Linux 裝置上配置 osquery ,然後才能在 QRadar®中新增日誌來源。
在開始之前
Osquery V3.3.2 必須已安裝並在 Linux 系統上執行。 如需為 Linux安裝 osquery 的相關資訊,請參閱 下載並安裝 Osquery (https://osquery.io/downloads/official/3.3.2)。
程序
- 從 IBM Fix Central (https://www.ibm.com/support/fixcentral) 下載 qradar.pack.conf 檔案。
- 將 qradar.pack.conf 檔案複製到您的 osquery 主機。 例如, <location_of_pack_file>/qradar.pack.conf
- 編輯 osquery.conf 檔案。 預設檔案位置為 /etc/osquery/osquery.conf。
- 請確定 osquery.conf 檔中包含下列選項。
"disable_logging": "false"
"disable_events" : "false"
"logger_plugin": "filesystem,syslog"
- 將 qradar.pack.conf 新增至 osquery.conf 檔案。
"qradar": "/<path_to_packs>/qradar.pack.conf"
<osquery>中的檔案範例:
{ // Configure the daemon below: "options": { "disable_logging": "false", "disable_events" : "false", "logger_plugin": "filesystem,syslog", "utc": "true" }, "packs": { "qradar": "<location_of_pack_file>/qradar.pack.conf" }}
附註: qradar.pack.conf 檔案包含 “file_paths” 區段,用於定義 QRadar 套件的預設檔案完整性監視。 在客戶 <osquery>.conf 檔案內定義的 “file_paths” 優先於 qradar.pack.conf 檔案。
- 重新啟動 osquery 常駐程式。
下一步做什麼
若要取得在 QRadar中新增日誌來源所需的參數值,請參閱 osquery 日誌來源參數。