配置 OSSEC

您可以在獨立式安裝或管理伺服器上為 OSSEC 配置 syslog:

1. 使用 SSH 登入 OSSEC 裝置。
2. 編輯 OSSEC 配置 ossec.conf 檔。

   <installation directory>/ossec/etc/ossec.conf

3. 新增下列 syslog 配置:
   附註: 在 alerts 項目之後及 localfile 項目之前新增 syslog 配置。

   </alerts>

   <syslog_output> <server>(QRadar IP Address)</server> <port>514</port> </syslog_output>

   <localfile>

   例如：

   <syslog_output> <server><IP_address></server> <port>514</port> </syslog_output>

4. 儲存 OSSEC 配置檔。
5. 鍵入下列指令以啟用 syslog 常駐程式:

   <installation directory>/ossec/bin/ossec-control enable client-syslog

6. 鍵入下列指令，以重新啟動 syslog 常駐程式:

   <installation directory>/ossec/bin/ossec-control restart

   配置已完成。 日誌來源會新增至 IBM® QRadar® ，因為會自動探索 OSSEC 事件。 OSSEC 轉遞至 QRadar 的事件會顯示在 QRadar的 日誌活動 標籤上。