Collecte d'événements de base de données Oracle à l'aide de Perl

L'application de programme d'écoute Oracle Database stocke les journaux sur le serveur de base de données. Pour transférer ces journaux du serveur Oracle vers IBM QRadar, vous devez configurer un script Perl sur le serveur Oracle. Le script Perl surveille le fichier journal du programme d'écoute, combine toutes les entrées de journal multilignes dans une entrée de journal unique et envoie les journaux, à l'aide de syslog (UDP), à QRadar.

A propos de cette tâche

Avant l'envoi des journaux à QRadar, ils sont traités et reformatés de sorte qu'ils ne soient pas transmis ligne par ligne, tel qu'ils figurent dans le fichier journal. Toutes les informations pertinentes sont conservées.

Remarque: les scripts Perl écrits pour le programme d'écoute de base de données Oracle fonctionnent uniquement sur les serveurs Linux®/UNIX. Le script Windows Perl n'est pas pris en charge. Vous devez vous assurer que Perl 5.8 est installé sur l'unité qui héberge le serveur Oracle.

Pour installer et configurer le script Perl :

Procédure

  1. Consultez le site Web suivant pour télécharger les fichiers dont vous avez besoin :

    http://www.ibm.com/support

  2. Dans la liste Downloads , cliquez sur Fix Central.
  3. Cliquez sur l'onglet Sélectionner un produit .
  4. Sélectionnez IBM Security dans la liste Groupe de produits .
  5. Sélectionnez IBM Security QRadar SIEM dans la liste Sélectionner dans IBM Security .
  6. Sélectionnez la version installée de QRadar.
  7. Sélectionnez Linux dans la liste Platform et cliquez sur Continuer.
  8. Sélectionnez Rechercher des correctifs et cliquez sur Continuer.
  9. Sélectionnez Script.
  10. Cliquez sur <QRadar_version>-oracle_dblistener_fwdr-<version_number>.pl.tar.gz pour télécharger le script du programme d'écoute de base de données Oracle .
  11. Copiez le script Oracle DB Listener sur le serveur qui héberge le serveur Oracle.
  12. Connectez-vous au serveur Oracle à l'aide d'un compte disposant de droits d'accès en lecture / écriture pour le fichier listener.log et le répertoire /var/run .
  13. Extrayez le fichier de script Oracle DB Listener en entrant la commande suivante :

    tar -xvzf oracle_dblistener_fwdr-<version_number>.pl.tar.gz

  14. Entrez la commande suivante et incluez les paramètres de commande supplémentaires pour démarrer la surveillance du fichier journal d'Oracle DB Listener :

    oracle_dblistener_fwdr.pl -h <IP address> -t "tail -F <absolute_path_to_listener_log>/listener.log"

    où <IP address> est l'adresse IP de QRadar Console ou Event Collector, et <absolute_path_to_listener_log>, le chemin d'accès absolu du fichier journal du programme d'écoute sur le serveur Oracle.

    Tableau 1. Paramètres de commande

    Paramètres

    Descriptif
    -D

    Le paramètre -D indique que le script doit s'exécuter au premier plan.

    Par défaut, il s'exécute en tant que démon et consigne tous les messages internes dans le service syslog local.
    -t

    Le paramètre -t indique que la ligne de commande est utilisée pour suivre le fichier journal (surveille toute nouvelle sortie du programme d'écoute). L'emplacement du fichier journal peut varier selon les versions de la base de données Oracle. Par exemple :

    Oracle 9i: <install_directory>/product/9.2/network/log/listener.log

    Oracle 10g: <install_directory>/product/10.2.0/db_1/network/log /listener.log

    Oracle 11g: <install_directory>/diag/tnslsnr/qaoracle11/listener /trace/listener.log
    -f

    Le paramètre -f définit le syslog facility.priority à inclure au début du journal.

    Si rien n'est spécifié, user.info est utilisé.
    -g
    Le paramètre -g définit le fichier de module de langue. Exemple :
    ./oracle_dblistener_fwdr.pl -h <IP_address> -g /root/OracleDBListener/languagepacks/localization.french -t "tail -f /root/smbtest/listener_vali.log"

    Ce paramètre est facultatif.
    -H

    Le paramètre -H définit le nom d'hôte ou l'adresse IP de l'en-tête syslog. Il est suggéré d'indiquer l'adresse IP du serveur Oracle sur lequel s'exécute le script.
    -h

    Le paramètre -h définit l'hôte syslog de réception (le nom d'hôte ou l'adresse IP du collecteur d'événements utilisé pour recevoir les journaux).
    -p

    Le paramètre -p définit le port syslog UDP de réception.

    Si aucun port n'est indiqué, 514 est utilisé.
    -r

    Le paramètre -r définit le nom du répertoire dans lequel vous souhaitez créer le .pid file. La valeur par défaut est /var/run. Ce paramètre est ignoré si -D est spécifié.
    -l

    Le paramètre -I définit le nom du répertoire dans lequel vous voulez créer le fichier de verrouillage. La valeur par défaut est /var/lock. Ce paramètre est ignoré si -D est spécifié.

    Par exemple, pour surveiller le journal du programme d'écoute sur un serveur Oracle 9i avec l'adresse IP 192.0.2.10 et transmettre les événements à QRadaravec l'adresse IP 192.0.2.20, entrez le code suivant :

    oracle_dblistener_fwdr.pl -t "tail -f <install_directory>/product/9.2/network/log/listener.log" -f user.info -H 192.0.2.10 -h 192.0.2.20 -p 514

    Un exemple de journal de cette configuration s'affiche comme suit :

    <14>Apr 14 13:23:37 192.0.2.10 AgentDevice=OracleDBListener Command=SERVICE_UPDATE DeviceTime=18-AUG-2006 16:51:43 Status=0 SID=qora9

    Remarque: La commande kill peut être utilisée pour arrêter le script si vous devez reconfigurer un paramètre de script ou empêcher le script d'envoyer des événements à QRadar. Exemple :

    kill -QUIT `cat /var/run/oracle_dblistener_fwdr.pl.pid`

    Dans cet exemple de commande un guillemet inverse (`) est utilisé, ce caractère se trouve à gauche du chiffre un sur la plupart des dispositions de clavier QWERTY.

Etape suivante

Vous pouvez désormais configurer Oracle Database Listener dans QRadar.