IPtables 是一个功能强大的工具,用于在 Linux® 内核防火墙上创建用于路由流量的规则。
关于此任务
要配置 IPtables,必须检查现有规则,修改规则以记录事件,并将日志标识分配给可由 IBM
QRadar标识的 IPtables 规则。 此过程用于确定 QRadar记录的规则。 QRadar 包含任何已记录的事件,这些事件在事件有效内容中包含以下词 :accept , drop , reject 或 deny。
过程
- 使用 SSH 以 root 用户身份登录到 Linux Server。
- 编辑以下目录中的 IPtables 文件:
/etc/iptables.conf
注: 包含 IPtables 规则的文件可能根据您正在配置的特定 Linux 操作系统而有所不同。 例如,使用 Red Hat Enterprise 的系统在 /etc/sysconfig/iptables 目录中具有该文件。 有关配置 IPtables的更多信息,请参阅 Linux 操作系统文档 。
- 查看文件以确定要记录的 IPtables 规则。
例如,如果要记录由条目定义的规则,请使用:
-A INPUT -i eth0 --dport 31337 -j DROP
- 在要记录的每个规则前立即插入匹配的规则:
-A INPUT -i eth0 --dport 31337 -j DROP
-A INPUT -i eth0 --dport 31337 -j DROP
- 针对要记录的每个规则,将新规则的目标更新为 LOG ,例如:
-A INPUT -i eth0 --dport 31337 -j LOG
-A INPUT -i eth0 --dport 31337 -j DROP
- 将 LOG 目标的日志级别设置为 SYSLOG 优先级,例如信息或通知:
-A INPUT -i eth0 --dport 31337 -j LOG --log-level info
-A INPUT -i eth0 --dport 31337 -j DROP
- 配置日志前缀以标识规则行为。 将日志前缀参数设置为:
Q1Target=<rule>
Where <规则> is one of the following IPtable firewall actions: fw_accept, fw_drop, fw_reject, or fw_deny.
例如,如果防火墙目标记录的规则删除了事件,那么日志前缀设置为:
Q1Target=fw_drop
-A INPUT -i eth0 --dport 31337 -j LOG --log-level info --log-prefix "Q1Target=fw_drop " -A INPUT -i eth0 --dport 31337 -j DROP
注: 在右引号之前必须有一个尾随空格。
- 保存文件并退出。
- 使用以下命令重新启动 IPtables :
/etc/init.d/iptables restart
- 打开 syslog.conf 文件。
- 添加以下行:
kern.<log level>@<IP
address>
其中:
- <日志级别> is the previously set log level.
- <IP 地址> is the IP address of QRadar.
- 保存文件并退出。
- 使用以下命令重新启动 syslog 守护程序:
/etc/init.d/syslog restart
在 syslog 守护程序重新启动后,会将事件转发到 QRadar。 从 Linux Server 转发的 IPtable 事件会自动发现并显示在 QRadar的 日志活动 选项卡中。