Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

OSSECの設定

スタンドアロンのインストールまたは管理サーバーで、OSSEC の syslog を設定できます。

  1. SSHを使用してOSSECデバイスにログインします。
  2. OSSEC 設定 ossec.conf ファイルを編集します。

    installation directory<>/ossec/etc/ossec.conf

  3. 以下の syslog 設定を追加します。
    メモ:

    アラートエントリの後とローカルファイルエントリ前にsyslog設定を追加します。

    </alerts>

    <syslog_output> <server>(QRadar IP Address)</server> <port>514</port> </syslog_output>

    <localfile>

    例えば

    <syslog_output> <server>10.100.100.2</server> <port>514</port> </syslog_output>

  4. OSSEC 設定ファイルを保存します。
  5. syslog デーモンを有効にするには、以下のコマンドを入力します。

    <installation directory>/ossec/bin/ossec-control enable client-syslog

  6. syslog デーモンを再始動するには、以下のコマンドを入力します。

    <installation directory>/ossec/bin/ossec-control restart

    設定は完了です。OSSECイベントが自動的に検出されると、ログソースがJSAに追加されます。OSSEC によって JSA に転送されるイベントは、JSA の [ログ アクティビティ] タブに表示されます。