Об этой задаче
Эта задача применяется к операционным системам Red Hat Enterprise Linux V6.
Если вы используете операционную систему SUSE, Debian или Ubuntu, обратитесь к документации вашего поставщика за конкретными шагами для вашей операционной системы
Процедура настройки
- Войдите в систему на своем Linux-устройстве, как пользователь root.
Введите следующую команду:# yum install audit service auditd start chkconfig auditd on
- Откройте следующий файл:
/etc/audisp/plugins.d/syslog.conf - Убедитесь, что параметры соответствуют следующим значениям:
active = yes direction = out path = builtin_syslog type = встроенный args = LOG_LOCAL6 format = string
- Откройте следующий файл:
/etc/rsyslog.conf
- Добавьте следующую строку в конец файла:
local6. * @@ <QRadar_Collector_IP_address>
- Введите следующие команды:
# service auditd restart # service syslog restart
- Войдите в пользовательский интерфейс QRadar.
- Добавьте источник журнала ОС Linux.
- Нажмите Admin > Deploy Changes.