IBM
QRadar DSM for Internet System Consortium (ISC) BIND 从 ISC BIND 设备收集 Syslog 事件。
完成以下步骤以配置 ISC BIND 与 QRadar进行通信。
关于此任务
您可以在 ISC BIND 设备上配置 syslog ,以将事件转发到 QRadar。
过程
- 登录到 ISC BIND 设备。
- 打开以下文件以添加日志记录子句:
named.conf
logging {
channel <channel_name> {
syslog <syslog_facility>;
severity <critical | error | warning | notice | info | debug [level ] | dynamic
>;
print-category yes;
print-severity yes;
print-time yes;
};
category queries {
<channel_name>;
};
category notify {
<channel_name>;
};
category network {
<channel_name>;
};
category client {
<channel_name>;
};
};
For Example:
logging {
channel QRadar {
syslog local3;
severity info;
};
category queries {
QRadar;
};
category notify {
QRadar;
};
category network {
QRadar;
};
category client {
QRadar;
};
};
- 保存文件并退出。
- 编辑 syslog 配置以使用您在 ISC BIND中选择的工具来记录到 QRadar :
<syslog_facility>.* @<IP_address>
Where <IP 地址> is the IP address of your QRadar.
例如:
local3.* @<IP_address>
注: QRadar 仅解析严重性级别为 info 或更高的日志。
- 重新启动以下服务。
service syslog restart
service named restart