Настройте ОС Linux для отправки журналов аудита на QRadar |

Настройте ОС Linux для отправки журналов аудита на QRadar

Мануал

Об этой задаче

Эта задача применяется к операционным системам Red Hat Enterprise Linux V6.

Если вы используете операционную систему SUSE, Debian или Ubuntu, обратитесь к документации вашего поставщика за конкретными шагами для вашей операционной системы

Процедура настройки

  1. Войдите в систему на своем Linux-устройстве, как пользователь root.
    Введите следующую команду:
     # yum install audit service auditd start chkconfig auditd on
  2. Откройте следующий файл:
    /etc/audisp/plugins.d/syslog.conf
  3. Убедитесь, что параметры соответствуют следующим значениям:
     active = yes direction = out path = builtin_syslog type = встроенный args = LOG_LOCAL6 format = string 
  4. Откройте следующий файл:
     /etc/rsyslog.conf 
  5. Добавьте следующую строку в конец файла:
     local6. * @@ <QRadar_Collector_IP_address> 
  6. Введите следующие команды:
     # service auditd restart
    # service syslog restart 
  7. Войдите в пользовательский интерфейс QRadar.
  8. Добавьте источник журнала ОС Linux.
  9. Нажмите Admin > Deploy Changes.

 

Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
Добавить комментарий