Linux - Intégration de fichiers logs à QRadar

Date de Création 26/01/2018

Auteur Famara Bodian
Code TLP TLP : AMBER
Version Actuelle 1.0
Historique des Versions
Version Date Modification Modification Commentaire
par
1.0 26/01/2017 Famara Bodian Version initiale

Suricate Solutions 1/3

Préavis
Ce document a été rédigé en référence
 au document officiel « IBM Security QRadar DSM Configuration Guide »
accessible au lien suivant :
http://public.dhe.ibm.com/software/security/products/qradar/documents/
iTeam_addendum/b_dsm_guide.pdf
 et à la documentation officielle syslog-ng accessible au lien suivant :
https://www.balabit.com/documents/syslog-ng-ose-latest-
guides/en/syslog-ng-ose-guide-admin/html

1. Introduction
La procédure décrite dans ce document permet l’intégration de logs depuis un
fichier tiers. En effet, il peut arriver qu’une application spécifique enregistre ses logs
dans un fichier séparé plutô t que d’utiliser directement le service syslog par défaut.
Le gestionnaire de logs Syslog-NG offre un module qui permet de récupérer chaque
nouvelle entrée du fichier log cible et de la transférer à l’adresse du serveur QRadar.

2. Installation de Syslog-NG
Si Syslog-NG n’est pas présent dans le système Linux à configurer, il peut s’installer
simplement via le gestionnaire de paquets natif de ce système.

3. Configuration de Syslog-NG
Configurer le démon syslog-ng pour la lecture des logs depuis le fichier cible en
suivant la procédure décrite ci-dessous.

Procédure
 Se connecter au serveur Linux en tant que root
 Créer le fichier de configuration en éditant le fichier /etc/syslog-
ng/conf.d/qradar.conf
 Ajouter les lignes suivantes
source <nom_source> { file ("/chemin/vers/le/fichier") ; } ;
destination qradar {
network("<Adresse_IP>" port(514) transport(tcp) mark-freq(0));
};
log{source(<nom_source>); destination(qradar); } ;
avec <nom_source> étant le nom de la source de journal

 Enregistrer le fichier de configuration

 Redémarrer le service syslog-ng en exécutant la commande suivante :
service syslog-ng restart

4. Que Faire Ensuite ?

IBM Security QRadar permet la création d’une source de log universelle pour
l’intégration de logs dont le format n’est pas supporté par défaut. Suivre la

Suricate Solutions 2/3

procédure décrite ci-dessous pour la création de la source de log universelle sur la
console QRadar.

Procédure
 Se connecter à la console QRadar
 Cliquer sur l’onglet Admin
 Dans le menu de navigation, cliquer sur Data Sources
 Cliquer sur l’icô ne Log Sources
 Cliquer sur Add
 Au niveau du champ Log Source Name, entrer un nom pour la source de log
 Au niveau du champ Log Source Description, taper une description de la
source de log
 Dans la liste Log Source Type, sélectionner Universal DSM
 Dans la liste Protocol Configuration, sélectionner Syslog
 Configurer la valeur suivante :
Paramètre Description
Log Source Identifier Taper l'adresse IP ou le nom d'hô te de
la source de journal en tant
qu'identificateur
 Cliquer sur Save
 Dans l'onglet Admin, cliquer sur Deploy Changes
La configuration est complète.

Suricate Solutions 3/3