PostFix 邮件传输代理程序

IBM QRadar 可以从网络中安装的 PostFix Mail Transfer Agent (MTA) 收集系统日志邮件事件并进行分类。

要收集系统日志事件，必须配置 PostFix MTA 安装以将系统日志事件转发到 QRadar。 QRadar 不会自动发现从 PostFix MTA 安装转发的系统日志事件，因为它们是多行事件。 QRadar 支持来自 PostFix MTA V2.6.6的系统日志事件。

要配置 PostFix MTA ，请完成以下任务:

1. 在 PostFix MTA 系统上，配置 syslog.conf 以将邮件事件转发到 QRadar。
2. 在 QRadar 系统上，为 PostFix MTA 创建日志源以使用 UDP 多行系统日志协议。
3. 在 QRadar 系统上，配置 IPtables 以将事件重定向到为 UDP 多行系统日志事件定义的端口。
4. 在 QRadar 系统上，验证 PostFix MTA 事件是否显示在 日志活动 选项卡上。

如果您有多个 PostFix MTA 安装，其中事件转至不同的 QRadar 系统，那么必须为接收 PostFix MTA 多行 UDP syslog 事件的每个 QRadar 系统配置日志源和 IPtables 。