Admin tabından “Qradar Log Source Managemnet” tıklıyoruz.
Açılan yeni sekmede “ New Log Source “ kısmını tıklıyoruz.
“Cisco Identity Service Engine” seçerek devam ediyoruz.
Protokol olarak “UDP Multiline Syslog” seçiyoruz.
Açılan sekmede ISE cihazımızın ismini yazarak devam ediyoruz.
Log Source Identifier : Cisco ISE cihazımızın ip adresini yazıyoruz.
Listen Port : UDP 517
Message ID Pattern : CISE_\S+ (\d{10})
Qradar ın Cisco ISE tan adlığı logları filitreleyebilmesi ve birden fazla aynı formatta gelen loglar için ortak tanımlayıcı bir değer belirleyebilmesi gereklidir.
Source Name Formating String : $1
Gerekli bilgileri doldurduktan sonra qradar üzerinden Admin sekmesinden Deploy yaparak qradar tarafındaki işlemlerimizi bitiriyor ve Cisco ISE tarafına geçiyoruz.
Administration > System > Logging > Remote Logging Targets > Add
Log hedefi için isim ve ip adresi bilgilerini giriyoruz. port olarak UDP 517 yazıyoruz.
Logları qradar a yönlendirdikten sonra hangi logların gönderileceğini tanımlamamız gerekiyor. Bunun için ;
Administration > System > Logging > Logging Categories
Bu sekmede hangi logların gönderilmesini istiyorsak o katogori ye girerek qradar ekliyoruz.
AAA Audit logları için Qradar ı seçiyorum. Loglarını göndermek istediğim diğer katagorilerde de qradarı seçiyorum.
işelmlerimiz bittikten sonra Qradar üzerinde “Log Activity” sekmesine gidiyorum ve Cisco ISE üzerinden gönderdiğim logları qradar üzerinde görüntülüyorum.
Bir sonraki makalede görüşmek üzere……
