Les nouvelles organisations informatiques imposent parfois la mise en place d’un SIEM.
Chez IBM on vous proposera QRADAR. SPLUNK est aussi une solution très connue.
https://fr.wikipedia.org/wiki/Security_information_management_system
Pour échanger avec votre concentrateur, vous devrez utiliser un format spécifique qui se nomme SYSLOG.
https://fr.wikipedia.org/wiki/Syslog
Comment produire du format syslog sur L’IBMi?
Il y a principalement 3 manières d’en produire.
SQL as a service à prévu des passerelles pour produire ces fichiers.
1) Sur les sorties d’audit journal QAUDJRN
Exemple :
SELECT
SYSLOG_EVENT ,
SYSLOG_FACILITY ,
SYSLOG_SEVERITY ,
SYSLOG_PRIORITY
FROM TABLE(QSYS2.DISPLAY_JOURNAL(‘QSYS’, ‘QAUDJRN’,
STARTING_RECEIVER_NAME => ‘*CURCHAIN’,
JOURNAL_ENTRY_TYPES => ‘PW’,
STARTING_TIMESTAMP => CURRENT TIMESTAMP -24 HOURS,
GENERATE_SYSLOG => ‘RFC5424’
)) AS X
Cette requête produira une liste des erreurs de login sur les dernières 24 heures
2) sur la log du système
SELECT
SYSLOG_EVENT ,
SYSLOG_FACILITY ,
SYSLOG_SEVERITY ,
SYSLOG_PRIORITY
FROM TABLE(QSYS2.HISTORY_LOG_INFO(
START_TIME=> NOW() – 1 HOURS,
GENERATE_SYSLOG => ‘RFC3164’
)) AS X
cette requête extrait la liste des commandes du dsplog sur 1 heure
La fonction table ne prévoit pas de filtre vous serez surement obliger de rajouter une clause WHERE pour, par exemple, choisir des messages.
Il y a 2 formats de sortie :
https://tools.ietf.org/html/rfc3164
https://tools.ietf.org/html/RFC5424
3) En utilisant SYSLOG
Syslog n’est pas qu’un formatage de données c’est aussi un logiciel UNIX de remontée d’alerte.
Ca peut être intéressant si par exemple vous utilisez des logiciels open source sur votre partition.
https://fr.wikipedia.org/wiki/Syslog
l’installation est très classique :
Vous avez un executable qui se trouve ici, /QOpenSys/usr/sbin/syslogd.
Vous devrez avoir un fichier de conf ici, /QOpenSys/etc/syslog.conf
Ce fichier doit être en CCSID819 et avoir *LF comme délimiteur.
Dans ce fichier vous indiquerez votre fichier de sortie.
Vous démarrez SYSLOG
SBMJOB CMD( CALL QP2SHELL PARM(‘/QOpenSys/usr/sbin/syslogd’) ) JOB(SYSLOGD)
Par convention on l’appelle SYSLOGD du nom du deamon UNIX.
Si vous n’avez pas de sous-système dédié à ce type d’opération mettez le dans la jobq QSYSNOMAX, il tournera alors dans le sous système QSYSWRK.
Une fois que vous avez produit vos fichiers, il suffira de les envoyer en CSV par exemple à votre concentrateur SIEM.
Vous devrez faire attention au CCSID à produire
Le logs peuvent prendre beaucoup de place, n’oubliez pas de les extraire pour les consolider et de faire le ménage.
Une fréquence journalière peut être adaptée à ce type de traitement.
Il existe des solutions plus ou moins packagées, que vous pouvez trouver chez des éditeurs.