OpenLDAP
Open LDAP DSM for IBM QRadar 接受来自 Open LDAP 安装的 UDP Multiline syslog 事件,这些事件配置为使用日志记录级别 256 来记录统计信息事件。
打开的 LDAP 事件将通过使用端口 514 转发到 QRadar 。 必须将这些事件重定向到为 UDP 多行系统日志协议配置的端口。 QRadar 在标准侦听端口 514 上不支持 UDP Multiline syslog。
注: 可以将 UDP 多行系统日志事件分配给除端口 514 之外的任何未在使用的可用端口。 指定给 UDP 多行系统日志协议的缺省端口为端口 517。 如果网络中已使用端口 517 ,请参阅 IBM
QRadar Administration Guide 或 IBM Knowledge Center ( https://www.ibm.com/support/knowledgecenter/SS42VS_7.3.0/com.ibm.qradar.doc/c_qradar_adm_common_ports.html?pos=2 ) 中的 QRadar 端口用法 主题 以获取 QRadar所使用的端口的列表。
重要信息: 将 UDP 多行系统日志事件直接从 Open LDAP 设备转发到所选端口 (缺省值为 517)。 如果您无法将事件直接发送到此端口,那么可以使用配置 IPtables 以用于 UDP 多行系统日志事件的备份方法。