Agent przesyłania poczty PostFix

Produkt IBM® QRadar® może gromadzić i kategoryzować zdarzenia poczty elektronicznej dziennika syslog z agentów PostFix Mail Transfer Agents (MTA) zainstalowanych w sieci.

Aby gromadzić zdarzenia syslog, należy skonfigurować program PostFix MTA, aby przekazywać zdarzenia syslog do produktu QRadar. Produkt QRadar nie wykrywa automatycznie zdarzeń dziennika systemowego, które są przekazywane z instalacji MTA PostFix , ponieważ są to zdarzenia wielowierszowe. Produkt QRadar obsługuje zdarzenia syslog z programu PostFix MTA V2.6.6.

Aby skonfigurować agenta MTA PostFix , wykonaj następujące czynności:

1. W systemie MTA PostFix skonfiguruj produkt syslog.conf do przekazywania zdarzeń poczty elektronicznej do produktu QRadar.
2. W systemie QRadar utwórz źródło dziennika dla agenta MTA PostFix , aby korzystać z protokołu syslog protokołu UDP multiline.
3. W systemie QRadar skonfiguruj IPtables , aby przekierować zdarzenia do portu zdefiniowanego dla zdarzeń syslog multiline protokołu UDP.
4. W systemie QRadar sprawdź, czy zdarzenia MTA PostFix są wyświetlane na karcie Działanie rejestrowania .

Jeśli istnieje wiele instalacji PostFix MTA, w których zdarzenia są wysyłane do różnych systemów QRadar , należy skonfigurować źródło dziennika i IPtables dla każdego systemu QRadar , który odbiera zdarzenia PostFix MTA multiline UDP syslog.