Académique Documents
Professionnel Documents
Culture Documents
1. Introduction
La procédure décrite dans ce document permet l’intégration de logs depuis un
fichier tiers. En effet, il peut arriver qu’une application spécifique enregistre ses logs
dans un fichier séparé plutô t que d’utiliser directement le service syslog par défaut.
Le gestionnaire de logs Syslog-NG offre un module qui permet de récupérer chaque
nouvelle entrée du fichier log cible et de la transférer à l’adresse du serveur QRadar.
2. Installation de Syslog-NG
Si Syslog-NG n’est pas présent dans le système Linux à configurer, il peut s’installer
simplement via le gestionnaire de paquets natif de ce système.
3. Configuration de Syslog-NG
Configurer le démon syslog-ng pour la lecture des logs depuis le fichier cible en
suivant la procédure décrite ci-dessous.
Procédure
Se connecter au serveur Linux en tant que root
Créer le fichier de configuration en éditant le fichier /etc/syslog-
ng/conf.d/qradar.conf
Ajouter les lignes suivantes
source <nom_source> { file ("/chemin/vers/le/fichier") ; } ;
destination qradar {
network("<Adresse_IP>" port(514) transport(tcp) mark-freq(0));
};
log{source(<nom_source>); destination(qradar); } ;
avec <nom_source> étant le nom de la source de journal
Procédure
Se connecter à la console QRadar
Cliquer sur l’onglet Admin
Dans le menu de navigation, cliquer sur Data Sources
Cliquer sur l’icô ne Log Sources
Cliquer sur Add
Au niveau du champ Log Source Name, entrer un nom pour la source de log
Au niveau du champ Log Source Description, taper une description de la
source de log
Dans la liste Log Source Type, sélectionner Universal DSM
Dans la liste Protocol Configuration, sélectionner Syslog
Configurer la valeur suivante :
Paramètre Description
Log Source Identifier Taper l'adresse IP ou le nom d'hô te de
la source de journal en tant
qu'identificateur
Cliquer sur Save
Dans l'onglet Admin, cliquer sur Deploy Changes
La configuration est complète.