Если я понимаю ваш вопрос, ваша конфигурация выглядит следующим образом.
Сервер 1 работает QRadar (я думаю, из вашего поста, это все в одном сервере, а не управляемый хост или отдельная консоль).
Сервер 2 является частью пары HA, выполняющей произвольное приложение, в котором rsyslog или syslogd работают правильно.
Вы хотите, чтобы сервер 2 регистрировался в QRadar на сервере 1. Если это точное резюме, решение простое.
установить в журнале сервера 2 ip-адрес сервера 1. в файле /etc/rsyslog.conf сервера 2 добавить запись
*.* @10.10.0.8:514
Куда я положил 10.10.0.8, вы указали ip-адрес вашего интерфейса Ethernet-сети QRadar, который является сборщиком событий.
На вкладке / апплете администратора консоли QRadar (зависит от версии QRadar) вы переходите к «Источники журналов». Добавление универсального источника журнала LEEF с использованием UDP с IP-адресом сервера 1. Сохраните источник журнала.
Развертывая изменения, вам не нужно перезапускать службы сбора событий, но если будет предложено сделать это, используйте графический интерфейс, если у вас есть QRadar 7.3.1 или на консоли, выполните перезапуск hostcontext службы в окне обслуживания. Куча сервисов перезапустится. Tomcat может взять FOREVER, чтобы перезапустить, так что сервис Tomcat статус ваш друг. Когда hostcontext сообщает, что он перезапущен, проверьте службы Tomcat и httpd, чтобы убедиться, что они оба работают.
Очистите кеш браузера, войдите в систему. В зависимости от объема регистрации и контента с сервера вы должны увидеть журналы примерно через десять минут, но это может занять больше времени. Если
Если они не появляются, проверьте непарсированные записи журнала. Возможно, вам потребуется добавить другой источник журналов для вашего приложения и установить порядок разбора журналов для сервера ... но это другой вопрос.