配置 IBM i 以與 IBM QRadar 整合
您可以整合 IBM® i 與 IBM QRadar®。
程序
- 從 IBM Fix Central (http://www.ibm.com/support/fixcentral) ,下載下列檔案:
AJLIB.SAVF
- 將 AJLIB.SAVF 檔案複製到具有 IBM iFTP 存取權的電腦或終端機。
- 鍵入下列指令,在 IBM i 上建立一般線上 SAVF 檔案:
CRTSAVF QGPL/SAVF
- 使用電腦或終端機上的 FTP 來將 IBM i 一般 SAVF 檔案取代為您所下載的 AJLIB.SAVF 檔案。
鍵入下列指令:
bin
cd qgpl
lcd c:\
put ajlib.savf AJLIB
quit
如果您要從另一個 IBM i 系統傳送 SAVF 檔案,請在 GET 或 PUT 陳述式之前放置 FTP 次指令模式 BINARY 來傳送檔案。 - 鍵入下列指令,在 IBM i 上還原 AJLIB 檔案:
RSTLIB SAVLIB(AJLIB) DEV(*SAVF) SAVF(QGPL/AJLIB)
AJLIB 提供將 IBM i 審核日誌登載項目傳送至 QRadar所需的對映及資料傳送支援。
- 執行 AJLIB/SETUP
設定畫面用來配置 FTP、SFTP 或本端路徑的 AJLIB ,以接收已處理的項目。
FTP 或 SFTP 需要伺服器使用者 ID , FTP 需要密碼。 當 FTP 處理行定界字元轉換時,您將行資訊來源設為接收 SFTP 傳送之系統類型的期望值。
- 如果您想要使用 SFTP ,請執行 AJLIB/GENKEY。
此指令會產生 SFTP 鑑別所需的 SSH 金鑰組。 如果金鑰組存在,則不會取代它。 如果您要產生新的金鑰組,在執行此指令之前,請從 /ajlib/.ssh 目錄中移除現有的金鑰檔。
如需 IBM i 上 SSH 金鑰組配置的相關資訊,請參閱 http://www-01.ibm.com/support/docview.wss?uid=nas8N1012710
- 產生金鑰組之後,請使用下列步驟來啟用伺服器上的金鑰組:
- 將 id_rsa.pub 檔案從 /ajlib 目錄複製到 SSH 伺服器,然後將它安裝在適當的資料夾中。
- 確定 SSH 伺服器已新增至執行 AJLIB/AUDITJRN 指令之使用者設定檔的 known_hosts 檔。
- 請使用適當的使用者設定檔來執行下列步驟:
- 鍵入下列指令,以啟動 PASE (可攜式應用程式解決方案環境) Shell:
call qp2term
- 鍵入下列指令,以啟動與 SSH 伺服器的階段作業:
ssh -T <user>@<serveraddress>
- 如果出現提示,請接受系統金鑰,並輸入密碼。
- 鍵入 exit,以關閉 SSH 階段作業。
如果您要在不同於執行 AJLIB/AUDITRN 指令的 IBM i 設定檔下執行這些步驟,請將 .ssh 目錄及 known_hosts 檔案複製到用來執行此指令之設定檔的起始目錄。 - 鍵入下列指令,以啟動 PASE (可攜式應用程式解決方案環境) Shell:
- 若要配置特定項目類型的過濾,請使用 AJLIB/SETENTTYP 指令。
- 鍵入下列指令,設定審核日誌登載檔案庫 (AJLIB) 的資料收集開始日期和時間:
AJLIB/DATETIME
如果您啟動審核日誌登載收集器,則會將失敗訊息傳送至 QSYSOPR。
設定函數會將審核日誌中資料收集的預設開始日期和時間設為當天的 08:00:00。
若要保留先前安裝的先前開始日期和時間資訊,您必須執行 AJLIB/DATETIME。 記錄前一個開始日期和時間,並在執行 AJLIB/SETUP時鍵入這些值。 開始日期和時間必須包含 6 個字元系統日期和系統時間格式的有效日期和時間。 結束日期和時間必須是有效的日期和時間或保留空白。
- 執行 AJLIB/AUDITJRN。
審核日誌收集程式會啟動並將記錄傳送至遠端 FTP 伺服器: 如果傳送至 FTP 伺服器失敗,則會將訊息傳送至 QSYSOPR。 啟動 AJLIB/AUDITJRN 的處理程序通常由 IBM i 工作排程器自動化,它會定期收集記錄。
如果 FTP 傳送成功,則會將現行日期和時間資訊寫入 AJLIB/DATETIME 的開始時間,以更新收集時間,並將結束時間設為空白。 如果 FTP 傳送失敗,則會消除匯出檔,且不會對收集日期或時間進行任何更新。