Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置 Suricata 以与 JSA 通信

要向 JSA 发送事件,必须配置 Syslog 集成。

开始之前

您必须有权访问 Suricata 设备,并有权写入配置文件并重新启动服务。您需要为安装 Suricata 的系统提供 Windows 或 Linux 登录信息等用户名和密码。

请确保在安装 Suricata 的系统上安装了 rsyslog。有关更多信息,请参阅 rsyslog 网站

  1. 登录 Suricata 设备。
  2. 打开 Suricata 安装目录中名为 suricata.yaml 的 Suricata 配置文件。eve-log更新输出标头下的条目。

    使用以下示例作为指南:

    <facility>变量是与local7之间的local0系统日志设施名称,例如local5

  3. 打开名为 /etc/rsyslog.conf 的 rsyslog 配置文件,并添加转发规则以将警报发送到 JSA。

    使用以下示例作为指南:

    <facility>.* @@<QRadar IP/hostname>:514

    <facility> 变量与在上一步中配置的系统日志工具相同。是 <JSAIP/hostname> 您要将 Suricata 警报转发到的 JSA 控制台或托管主机的 IP 或主机名。

  4. 重新启动 Suricata 和 rsyslog 服务。