您可以将 Apache HTTP 服务器配置为使用 syslog 协议转发事件。
关于这个任务
以下过程适用于在大多数 UNIX 或 Linux® 操作系统上运行的 Apache DSM。有关配置服务器的更多信息,请查看供应商的文档。
程序
- 以 root 用户身份登录到托管 Apache 的服务器。
- 编辑 Apache 配置文件httpd.conf。
- 在 Apache 配置文件中添加以下信息以指定自定义日志格式:
LogFormat "%h %A %l %u %t \"%r\" %>s %p %b" <log format name>
其中 <日志格式名称> 是您提供的用于定义日志格式的变量名称。
- 在 Apache 配置文件中添加以下信息以指定 syslog 事件的自定义路径:
CustomLog "|/usr/bin/logger -t httpd -p <facility>.<priority>" <log format name>
在哪里:
-
< facility > 是一个 syslog 工具,例如 local0。
-
< priority > 是 syslog 优先级,例如 info 或 notice。
-
<日志格式名称> 是您提供用于定义自定义日志格式的变量名称。日志格式名称必须与步骤 3 中定义的日志格式名称匹配。
例如,
CustomLog "|/usr/bin/logger -t httpd -p local1.info" MyApacheLogs
-
- 键入以下命令以禁用主机名查找:
HostnameLookups off
- 保存 Apache 配置文件。
- 编辑系统日志配置文件。
/etc/syslog.conf
- 将以下信息添加到您的 syslog 配置文件中:
<facility>.<priority> <TAB><TAB>@<host>
在哪里:
- < facility > 是 syslog 工具,例如 local0。此值必须与您在步骤 4 中键入的值匹配。
- < priority > 是 syslog 的优先级,例如 info 或 notice。此值必须与您在步骤 4 中键入的值匹配。
<TAB>
表示您必须按Tab键。- <主机> 是QRadar® 控制台或事件收集器的 IP 地址。
- 保存系统日志配置文件。
- 键入以下命令以重新启动 syslog 服务:
/etc/init.d/syslog restart
- 重新启动 Apache 以完成 syslog 配置。
配置完成。随着来自 Apache HTTP 服务器的系统日志事件被自动发现,日志源被添加到QRadar 。由 Apache HTTP 服务器转发到QRadar的事件显示在QRadar的日志活动选项卡上。