Apache HTTP服务器配置syslog

您可以将 Apache HTTP 服务器配置为使用 syslog 协议转发事件。

以下过程适用于在大多数 UNIX 或 Linux® 操作系统上运行的 Apache DSM。有关配置服务器的更多信息，请查看供应商的文档。

1. 以 root 用户身份登录到托管 Apache 的服务器。
2. 编辑 Apache 配置文件httpd.conf。
3. 在 Apache 配置文件中添加以下信息以指定自定义日志格式：

   LogFormat "%h %A %l %u %t \"%r\" %>s %p %b"

   其中 <日志格式名称> 是您提供的用于定义日志格式的变量名称。

4. 在 Apache 配置文件中添加以下信息以指定 syslog 事件的自定义路径：

   CustomLog "|/usr/bin/logger -t httpd -p ."

   在哪里：

   • < facility > 是一个 syslog 工具，例如 local0。

   • < priority > 是 syslog 优先级，例如 info 或 notice。

   • <日志格式名称> 是您提供用于定义自定义日志格式的变量名称。日志格式名称必须与步骤 3 中定义的日志格式名称匹配。

   例如，

   CustomLog "|/usr/bin/logger -t httpd -p local1.info" MyApacheLogs

5. 键入以下命令以禁用主机名查找：

   HostnameLookups off

6. 保存 Apache 配置文件。
7. 编辑系统日志配置文件。

   /etc/syslog.conf

8. 将以下信息添加到您的 syslog 配置文件中：

   . @

   在哪里：

   • < facility > 是 syslog 工具，例如 local0。此值必须与您在步骤 4 中键入的值匹配。
   • < priority > 是 syslog 的优先级，例如 info 或 notice。此值必须与您在步骤 4 中键入的值匹配。
   • 表示您必须按Tab键。
   • <主机> 是QRadar® 控制台或事件收集器的 IP 地址。
9. 保存系统日志配置文件。
10. 键入以下命令以重新启动 syslog 服务：

    /etc/init.d/syslog restart

11. 重新启动 Apache 以完成 syslog 配置。

    配置完成。随着来自 Apache HTTP 服务器的系统日志事件被自动发现，日志源被添加到QRadar 。由 Apache HTTP 服务器转发到QRadar的事件显示在QRadar的日志活动选项卡上。