我想将我的RHEL / Ubuntu计算机上的所有审计日志推送到另一个实例上配置的qradar服务器。有没有办法完成这个?
使用案例 Server-1正在运行QRadar实例 Server-2 HAs我的应用程序和日志已经配置,审计日志也被写入......
如何配置我的服务器2审核日志指向QRadar服务器??
谢谢
答案 0 :(得分:1)
如果我理解您的问题,则您的配置如下。
服务器1正在运行QRadar(我从您的帖子中猜测,它是一台多合一服务器,而不是托管主机或独立控制台)。
服务器2是运行任意应用程序且具有rsyslog或syslogd正常运行的HA对的一部分。
您希望服务器2登录到服务器1上的QRadar。如果这是准确的摘要,则解决方案很简单。
将服务器2设置为登录到服务器1的IP地址。在服务器2的/etc/rsyslog.conf文件中添加一个条目
*.* @10.10.0.8:514
在我放置10.10.0.8的位置,您放置了QRadar以太网接口(即事件收集器)的ip地址。
在QRadar控制台的“管理”选项卡/小程序(取决于QRadar的版本)上,转到“日志源”。使用UDP和服务器1的IP添加通用LEEF日志源。保存日志源。
部署更改,您不需要重新启动事件收集服务,但是如果系统提示您这样做,请使用GUI(如果您具有QRadar 7.3.1)或在控制台上在维护窗口中重新启动服务hostcontext。一堆服务将重新启动。 Tomcat可以永远重启,因此服务Tomcat的状态就是您的朋友。当hostcontext说它已重新启动时,请检查Tomcat和httpd服务以确保它们都在运行。
清除浏览器缓存,然后重新登录。根据服务器的日志记录量和内容,您应该在大约十分钟左右的时间内看到日志,但是这可能需要更长的时间。如果
如果未出现,请检查未解析的日志条目。您可能需要为您的应用程序添加另一个日志源,并为服务器设置日志解析顺序...但这是另一个问题。