要收集 IBM® QRadar® Packet Capture 事件,必须配置到远程系统日志服务器的事件转发。
过程
- 使用 SSH 以 root 用户身份登录到 IBM QRadar Packet Capture 设备。
- 选择下列其中一个选项以启用系统日志。
- 选项 1: 在文本编辑器中打开 /etc/rsyslog.conf 文件,例如 vi:
然后在文件末尾添加以下行:
*.* @@<QRadar Event collector IP>:514
- 选项 2: 在 /etc/rsyslog.d/ 目录中创建 <filename>.conf 文件,然后将以下行添加到您创建的文件:
*.* @@<QRadar Event collector IP>:514
- 通过输入以下命令重新启动 Syslog 服务:
service rsyslog restart
将消息日志发送到 QRadar Event Collector 并保存本地副本。
注: QRadar 仅解析 IBM QRadar Packet Capture 的 LEEF 事件。 在 QRadar中的 日志活动 选项卡上, 事件名称 显示为 IBM QRadar Packet Capture Message , 低级别类别 显示为所有其他事件的 存储 。
后续步骤
要验证是否正在 IBM QRadar Packet Capture 设备上记录 LEEF 事件,请检查 /var/log/messages。tail /var/log/messages