IBM Controlador de volumen SAN
El IBM QRadar DSM IBM® SAN Volume Controller recopila eventos de IBM SAN Volume Controller.
Importante: Este DSM solo admite el formato de sucesos de Cloud Auditing Data Federation (CADF) que incluye la supervisión y la protección relacionadas con los sucesos de actividad de creación, actualización, eliminación y copia de seguridad en la nube de IBM SAN Volume Controller.
En la tabla siguiente se describen las especificaciones del DSM de IBM SAN Volume Controller:
| Especificación | Valor |
|---|---|
| Fabricante | IBM |
| Nombre de DSM | IBM Controlador de volumen SAN |
| Nombre de archivo RPM | DSM-IBMSANVolumeController-QRadar_version-build_number.noarch.rpm |
| Versiones soportadas | N/D |
| Protocolo | Syslog |
| Formato del evento | FCA |
| Tipos de sucesos registrados | actividad, control y supervisión de sucesos de auditoría |
| ¿Descubierto automáticamente? | Sí |
| ¿Incluye identidad? | Nee |
| ¿Incluye propiedades personalizadas? | Nee |
| Más información | IBM SAN Volume Controller (http://www-03.ibm.com/systems/storage/software/virtualization/svc/) |
Para integrar IBM SAN Volume Controller con QRadar, realice los pasos siguientes:
- Si las actualizaciones automáticas no están habilitadas, descargue e instale la versión más reciente de los siguientes RPM desde el Sitio web de soporte deIBM, en el orden en el que se listan, en QRadar
Console:
- RPM DSMCommon
- IBM Controlador de volumen SAN DSM RPM
- Configure el servidor IBM SAN Volume Controller para enviar sucesos de syslog a QRadar.
- Si QRadar no detecta automáticamente el origen de registro, añada un origen de registro de IBM SAN Volume Controller en QRadar
Console. En la tabla siguiente se describen los parámetros que requieren valores específicos para la recopilación de sucesos de IBM SAN Volume Controller:
Tabla 2. IBM SAN Volume Controller Parámetro Valor Tipo de origen de registro IBM Controlador de volumen SAN Configuración de protocolo Syslog Identificador de origen de registro La dirección IP o el nombre de host del servidor de IBM SAN Volume Controller. - Para verificar que QRadar se ha configurado correctamente, revise la tabla siguiente para ver un ejemplo de un mensaje de suceso analizado.Importante: Debido a problemas de formato, pegue el formato de mensaje en un editor de texto y, a continuación, elimine los caracteres de retorno de carro o salto de línea.La tabla siguiente muestra un mensaje de suceso de ejemplo para IBM SAN Volume Controller:
Tabla 3. IBM SAN Volume Controller Nombre de suceso Categoría de bajo nivel Mensaje de registro de ejemplo Copia de seguridad satisfactoria Actividad de copia de seguridad satisfactoria Oct 12 20:02:33 Cluster_<IP_address> IBM2145: {"typeURI": "http://example.com/cloud/audit/1.0/event","eventTime": "2016-10-12T20:02:30.000000+0000","target": {"typeURI": "service/storage/object","id": "0","name": "username"},"observer": {"typeURI": "service/network/cluster/logger","id": "10032004394","name": "username"},"tags": ["Backup"],"eventType": "activity","measurements": [{"metric": {"metricId": "www.example.com/svc/Cloud/Backup_Time/0000000000/000/0","name": "Time of backup being copied or restored","unit": "YYMMDDHHMMSS"},"result": "2016/10/12/20/02/30"},{"metric": {"metricId": "www.example.com/svc/Cloud/Backup_Generation_Number/0000000000/000/0","name": "Volume backup generation number","unit": "Natural Number"},"result": "1"}],"initiator": {"typeURI": "service/network/node","host": {"address": "<IP_address>"},"attachments": [{"content":"6005076400C8010E5000000000000000","typeURI": "text/plain","name": "volume_uuid"}],"name": "username","id": "1"},"reason": {"reasonCode": "200","reasonType": "http://www.example.com/assignments/http-status-codes/http-status-codes.xml"},"action": "backup","outcome": "success","id": "xxxxxxxxxxx-xxxxxxxxxx-xxx"}