IBM IMS

IBM® Information Management System (IMS) DSM for IBM QRadar ermöglicht Ihnen die Verwendung eines IBM Mainframes zum Erfassen von Ereignissen und Prüfen von IMS -Datenbanktransaktionen.

Um IBM IMS -Ereignisse mit QRadarzu integrieren, müssen Sie Scripts herunterladen, die das Schreiben von IBM IMS -Ereignissen in eine Protokolldatei ermöglichen.

Übersicht über den Ereigniserfassungsprozess:

1. Der IBM -Mainframe zeichnet alle Sicherheitsereignisse als SMF-Datensätze ( Service Management Framework ) in einem Live-Repository auf.
2. Die IBM IMS -Daten werden mit dem SMF-Speicherauszugsdienstprogramm aus dem Live-Repository extrahiert. Die SMF-Datei enthält alle Ereignisse und Felder des Vortags im unformatierten SMF-Format.
3. Das Programm qeximsloadlib.trs extrahiert Daten aus der SMF-formatierten Datei. Das Programm qeximsloadlib.trs extrahiert nur die relevanten Ereignisse und Felder für QRadar und schreibt diese Informationen aus Kompatibilitätsgründen in ein komprimiertes Format. Die Informationen werden an einer Position gespeichert, auf die QRadarzugreifen kann.
4. QRadar verwendet die Protokolldateiprotokollquelle, um die Ausgabedateiinformationen für QRadar zu einem geplanten Zeitpunkt abzurufen. QRadar importiert und verarbeitet dann diese Datei.