Configuration de OSSEC

Vous pouvez configurer syslog pour OSSEC sur un serveur d'installation ou de gestion autonome :

Procédure

  1. Utilisez SSH pour vous connecter à votre périphérique OSSEC.
  2. Editez le fichier de configuration OSSEC ossec.conf .

    <installation directory>/ossec/etc/ossec.conf

  3. Ajoutez la configuration syslog suivante :
    Remarque: Ajoutez la configuration syslog après l'entrée alerts et avant l'entrée localfile .

    </alerts>

    <syslog_output> <server>(QRadar IP Address)</server> <port>514</port> </syslog_output>

    <localfile>

    Par exemple,

    <syslog_output> <server><IP_address></server> <port>514</port> </syslog_output>

  4. Enregistrez le fichier de configuration OSSEC.
  5. Entrez la commande suivante pour activer le démon syslog :

    <installation directory>/ossec/bin/ossec-control enable client-syslog

  6. Entrez la commande suivante pour démarrer le démon syslog :

    <installation directory>/ossec/bin/ossec-control restart

    La configuration est terminée. La source de journal est ajoutée à IBM QRadar car les événements OSSEC sont automatiquement découverts. Les événements transmis à QRadar par OSSEC s'affichent dans l'onglet Activité de journal de QRadar.