PostFix Mail Transfer Agent

IBM QRadar kann Syslog-Mailereignisse von PostFix Mail Transfer Agents (MTA), die in Ihrem Netz installiert sind, erfassen und kategorisieren.

Zum Erfassen von Syslog-Ereignissen müssen Sie die MTA-Installation von PostFix konfigurieren, um Syslog-Ereignisse an QRadarweiterzuleiten. QRadar erkennt Syslog-Ereignisse nicht automatisch, die von PostFix -MTA-Installationen weitergeleitet werden, da es sich um mehrzeilige Ereignisse handelt. QRadar unterstützt Syslog-Ereignisse von PostFix MTA V2.6.6.

Führen Sie die folgenden Tasks aus, um PostFix MTA zu konfigurieren:

1. Konfigurieren Sie auf Ihrem PostFix -MTA-System syslog.conf für die Weiterleitung von Mailereignissen an QRadar.
2. Erstellen Sie auf Ihrem QRadar -System eine Protokollquelle für PostFix MTA zur Verwendung des mehrzeiligen UDP-Syslog-Protokolls.
3. Konfigurieren Sie auf Ihrem QRadar -System IPtables , um Ereignisse an den für mehrzeilige UDP-Syslog-Ereignisse definierten Port umzuleiten.
4. Überprüfen Sie auf Ihrem QRadar -System, ob Ihre PostFix -MTA-Ereignisse auf der Registerkarte Protokollaktivität angezeigt werden.

Wenn Sie mehrere PostFix -MTA-Installationen haben, bei denen Ereignisse an verschiedene QRadar -Systeme gesendet werden, müssen Sie eine Protokollquelle und IPtables für jedes QRadar -System konfigurieren, das MTA-Multiline-UDP-Syslog-Ereignisse des Typs PostFix empfängt.