Добрый день всем, сегодня я хочу показать вам как подключить сервера к IBM Qradar. Для тех кто не знает что это за продукт, прошу воспользоваться поиском.
Итак, имеются сервера под управлением Centos, Ubuntu, Debian и HP-UX.
Сначала установим нужные нам пакеты:
Centos:
Debian/Ubuntu:
Далее у вас появится конфиг:
открываем и добавляем туда следующие строки:
далее открываем /etc/audit/audit.rules и добавляем туда:
И перезапускаем сервисы
Для HP-UX настройка немного отличается:
Сначала нужно отредактировать файл /etc/syslog:
!!! не должно быть пробелов только TAB
проверить файл /etc/services:
должна быть раскомментирована строка:
добавить в файл /etc/hosts строку с сервером qradar:
#рестартуем syslogd
Вот и все
Итак, имеются сервера под управлением Centos, Ubuntu, Debian и HP-UX.
Сначала установим нужные нам пакеты:
Centos:
yum install auditd audispd-plugins
Debian/Ubuntu:
apt-get install auditd audispd-plugins
Далее у вас появится конфиг:
/etc/audisp/plugins.d/syslog.conf
открываем и добавляем туда следующие строки:
active = yes
direction = out
path = builtin_syslog
type = builtin
args = LOG_LOCAL6
format = string
local6.* @@<IP Qradar server>
далее открываем /etc/audit/audit.rules и добавляем туда:
# Increase the buffers to survive stress events.
# Make this bigger for busy systems
-b 1024
# Feel free to add below this line. See auditctl man page
# monitor unlink() and rmdir() system calls.
-a exit,always -F arch=b64 -S unlink -S rmdir
# monitor open() system call by Linux UID 1000.
-a exit,always -F arch=b64 -S open -F loginuid=1000
# monitor read and write access as well as append to file of the following files related to user authentication and authorizatrion.
-w /etc/group -p war
-w /etc/passwd -p war
-w /etc/shadow -p war
-w /etc/sudoers -p war
Теперь открываем /etc/rsyslog.conf и добавляем туда:
local6.* @@<IP Qradar server>
И перезапускаем сервисы
sudo service auditd restart
sudo service rsyslog restart
sudo service auditd rotate # for everyday log rotation
Для HP-UX настройка немного отличается:
Сначала нужно отредактировать файл /etc/syslog:
mail.debug /var/adm/syslog/mail.log
*.info;mail.none /var/adm/syslog/syslog.log
*.alert /dev/console
*.alert root
*.emerg *
auth.info @<IP Qradar server>
!!! не должно быть пробелов только TAB
проверить файл /etc/services:
должна быть раскомментирована строка:
syslog 514/udp # remote system logging
добавить в файл /etc/hosts строку с сервером qradar:
<IP Qradar server> <Name Qradar server>
#рестартуем syslogd
/sbin/init.d/syslogd stop
/sbin/init.d/syslogd start
Вот и все
Комментариев нет:
Отправить комментарий