IBM DB2

IBM® DB2® DSM 从使用 IBM Security zSecure的 IBM DB2 大型机收集事件。

使用 zSecure 流程时，可以将来自系统管理设施 (SMF) 的事件转换为日志事件扩展格式 (LEEF) 事件。 可以使用 UNIX Syslog 协议近乎实时地发送这些事件，或者 IBM QRadar 可以使用 "日志文件" 协议检索 LEEF 事件日志文件，然后处理事件。 使用 "日志文件" 协议时，可以调度 QRadar 以在轮询时间间隔内检索事件，这使 QRadar 能够检索您定义的调度上的事件。

要收集 IBM DB2 事件，请完成以下步骤:

1. 验证您的安装是否满足任何先决条件安装要求。 有关先决条件需求的更多信息，请参阅 IBM Security zSecure Suite 2.2.1 先决条件 (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/prereqs_qradar.html)。
2. 配置 IBM DB2 映像以写入 LEEF 格式的事件。 有关更多信息，请参阅 IBM Security zSecure Suite: CARLa-Driven Components Installation and Deployment Guide (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/setup_data_prep_qradar.html)。
3. 在 QRadar 中为 IBM DB2创建日志源。
4. 如果要在 QRadar中为 IBM DB2 创建定制事件属性，有关更多信息，请参阅 IBM Security Custom Event Properties for IBM z/OS 技术说明 (http://public.dhe.ibm.com/software/security/products/qradar/documents/71MR1/SIEM/TechNotes/IBM_zOS_CustomEventProperties.pdf)。

在开始之前

必须先完成基本 zSecure 安装过程并完成安装后活动以创建和修改配置，然后才能配置数据收集过程。

以下先决条件是必需的:

• 必须确保对 z/OS® 映像上的 IBM Security zSecure Audit 启用了 parmlib 成员 IFAPRDxx。
• SKRLOAD 库必须经过 APF 授权。
• 如果您正在使用直接 SMF INMEM 实时接口，那么必须安装必要的软件 (APAR OA49263) ，并设置 SMFPRMxx 成员以包含 INMEM 关键字和参数。 如果您决定使用 CDP 接口，那么还必须安装并运行 CDP。 有关更多信息，请参阅 IBM Security zSecure Suite 2.2.1: 接近实时的过程 (http://www.ibm.com/support/knowledgecenter/en/SS2RWS_2.2.1/com.ibm.zsecure.doc_2.2.0/installation/smf_proc_real_time_qradar.html)
• 您必须配置一个进程，以定期刷新CK冷冻和 UNLOAD 数据集。
• 如果您正在使用 "日志文件" 协议方法，那么必须在 z/OS 映像上为 QRadar 配置 SFTP ， FTP 或 SCP 服务器以下载 LEEF 事件文件。
• 如果您正在使用 "日志文件" 协议方法，那么必须允许位于 QRadar 和 z/OS 映像之间的防火墙上的 SFTP ， FTP 或 SCP 流量。

有关安装和配置 zSecure, 请参阅 IBM Security zSecure Suite：CARLa 驱动组件安装和部署指南 (https://www.ibm.com/docs/en/SS2RWS_2.4.0/com.ibm.zsecure.doc_2.4.0/zsec_install.pdf).