Configurazione di Linux OS per inviare i log di verifica

Configurare il sistema operativo Linux® per inviare i log di verifica a QRadar.

Informazioni su questa attività

Questa attività si applica a Red Hat® Enterprise Linux (RHEL) v6 ai sistemi operativi v8 .

Se si utilizza un sistema operativo SUSE, Debiano Ubuntu , consultare la propria documentazione del fornitore per i passi specifici per il proprio sistema operativo.

Procedura

  1. Accedi al tuo dispositivo Linux OS, come utente root.
  2. Digita i seguenti comandi:

    yum install audit

    service auditd start

    chkconfig auditd on

  3. Facoltativo: se si sta utilizzando RHEL v6 per v7.9, aprire il file /etc/audisp/plugins.d/syslog.conf e verificare che i parametri corrispondano ai seguenti valori:

    active = yes

    direction = out

    path = builtin_syslog

    type = builtin

    args = LOG_LOCAL6

    format = string

  4. Facoltativo: se si sta utilizzando RHEL v8, aprire il file /etc/audit/plugins.d/syslog.conf e verificare che i parametri corrispondano ai seguenti valori:

    active = yes

    direction = out

    path = builtin_syslog

    type = builtin

    args = LOG_LOCAL6

    format = string

  5. Aprire il file /etc/rsyslog.conf e aggiungere la seguente riga alla fine del file:
    local6.* @@<QRadar_Collector_IP_address>
  6. Digita i seguenti comandi:

    service auditd restart

    service syslog restart

  7. Accedere a QRadar Console.
  8. Aggiungere un'origine log SO Linux su QRadar Console.