Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Configuración de OSSEC

Puede configurar syslog para OSSEC en un servidor de administración o instalación independiente:

  1. Utilice SSH para iniciar sesión en su dispositivo OSSEC.
  2. Edite el archivo de configuración OSSEC ossec.conf .

    installation directory<>/ossec/etc/ossec.conf

  3. Agregue la siguiente configuración syslog:
    Nota:

    Agregue la configuración syslog después de la entrada de alertas y antes de la entrada localfile .

    </alerts>

    <syslog_output> <server>(QRadar IP Address)</server> <port>514</port> </syslog_output>

    <localfile>

    Por ejemplo,

    <syslog_output> <server>10.100.100.2</server> <port>514</port> </syslog_output>

  4. Guarde el archivo de configuración OSSEC.
  5. Escriba el siguiente comando para habilitar el demonio syslog:

    <installation directory>/ossec/bin/ossec-control enable client-syslog

  6. Escriba el siguiente comando para reiniciar el demonio syslog:

    <installation directory>/ossec/bin/ossec-control restart

    La configuración está completa. El origen del registro se agrega a JSA a medida que los eventos OSSEC se descubren automáticamente. Los eventos que el OSSEC reenvía a JSA se muestran en la pestaña Actividad de registro de JSA.