IBM DB2

始める前に

データ収集プロセスを構成する前に、基本的な zSecure インストール・プロセスを完了し、インストール後のアクティビティーを完了して、構成を作成および変更する必要があります。

次の前提条件が必要です。

• parmlib メンバーの IFAPRDxx が、z/OS イメージ上の IBM セキュリティー zSecure 監査に対して使用可能になっていることを確認する必要があります。

• SCKRLOAD ライブラリーは APF 許可を受けていなければなりません。

• 直接 SMF INMEM リアルタイム・インターフェースを使用している場合は、必要なソフトウェアをインストールし (APAR OA49263)、INMEM キーワードとパラメーターを組み込むように SMFPRMxx メンバーをセットアップする必要があります。CDP インターフェイスを使用する場合は、CDP もインストールして実行する必要があります。

• CKFREEZE および UNLOAD データ・セットを定期的にリフレッシュするプロセスを構成する必要があります。

• ログ・ファイル・プロトコル方式を使用している場合は、JSA 用の z/OS イメージで SFTP、FTP、または SCP サーバーを構成して、LEEF イベント・ファイルをダウンロードする必要があります。

• ログ・ファイル・プロトコル方式を使用している場合は、JSA と z/OS イメージの間にあるファイアウォールで SFTP、FTP、または SCP トラフィックを許可する必要があります。

ほぼリアルタイムのイベントフィード用のログソースを作成する

Syslogプロトコルを使用すると、JSAはリモートホストからほぼリアルタイムでシステム管理機能(SMF)イベントを受信できます。

次の DSM がサポートされています。

• IBM z/OS

• IBM CICS

• IBM RACF

• IBM DB2

• CAトップシークレット

• CA ACF2

JSA がログ・ソースを自動的に検出しない場合は、JSA コンソールで DSM のログ・ソースを追加します。

次の表では、DSM のイベント収集に特定の値を必要とするパラメーターについて説明します。

ログファイルプロトコルのログソースの作成

ログ・ファイル・プロトコルを使用すると、JSA は、IBM z/OS、IBMCICS、IBM RACF、IBM DB2、CA Top Secret、および CA ACF2 DSM のリモート・ホストからアーカイブ・ログ・ファイルを取得できます。

ログ ファイルは、処理のために JSA に 1 つずつ転送されます。ログファイルプロトコルは、プレーンテキストのイベントログ、圧縮ファイル、またはアーカイブを管理できます。アーカイブには、一度に 1 行ずつ処理できるプレーンテキストファイルが含まれている必要があります。複数行のイベント ログは、ログ ファイル プロトコルではサポートされていません。zSecure 対応の IBM z/OS は、指定されたディレクトリーにログ・ファイルを gzip アーカイブとして書き込みます。JSA はアーカイブを抽出し、ファイル内の 1 行に 1 つのイベントとして書き込まれるイベントを処理します。

これらのイベントを取得するには、ログ・ファイル・プロトコルを使用するログ・ソースを作成する必要があります。JSA では、LEEF フォーマットのイベント・ファイルをホストするシステムにログインするための資格情報と、ポーリング間隔が必要です。

1. JSAにログインします。

2. [ 管理 ] タブをクリックします。

3. 「 ログ・ソース」 アイコンをクリックします。

4. [ 追加] をクリックします。

5. 「ログ ・ソース名 」フィールドに、ログ・ソースの名前を入力します。

6. 「ログ・ソースの説明」フィールドに、 ログ・ソースの説明 を入力します。

7. 「ログ・ソース・タイプ」リストから、DSM 名を選択します。

8. 「プロトコル構成」リストから、「ログ・ファイル」を選択します。

9. ログ ファイルのプロトコル パラメーターを設定します。

   次の表では、DSM イベント コレクションに特定の値を必要とするパラメーターについて説明します。

   表 2: ログ ファイル プロトコル パラメータ

   パラメーター	値
   ログ・ソースID	イベント ソースを識別する IP アドレス、ホスト名、または名前を入力します。IPアドレスまたはホスト名は、JSAが固有のイベント・ソースに対するログ・ファイルを識別できるようにするため、推奨されています。 例えば、複数の z/OS イメージや、すべてのイベント・ログを含むファイル・リポジトリーなど、ネットワークに複数のデバイスが含まれている場合は、イメージの名前、IP アドレス、またはホスト名、または DSM ログ・ソースのイベントを一意的に識別するロケーションを指定する必要があります。この仕様により、ユーザーが識別できるネットワーク内のイメージ レベルまたはロケーション レベルでイベントを識別できます。
   サービスタイプ	「 サービス・タイプ 」リストから、リモート・サーバーからログ・ファイルを取得するときに使用するプロトコルを選択します。デフォルトは SFTP です。 SFTP - SSH ファイル転送プロトコル FTP - ファイル転送プロトコル SCP - セキュア コピー SCP および SFTP サービス タイプのログ ファイルを取得するために使用される基本プロトコルでは、[ リモート IP] または [ホスト名 ] フィールドで指定されたサーバーで SFTP サブシステムが有効になっている必要があります。
   リモート IP またはホスト名	イベントログファイルを保存するデバイスのIPアドレスまたはホスト名を入力します。
   リモートポート	選択した サービスタイプを実行しているリモートホストのTCPポートを入力します。有効な範囲は 1 から 65535 です。 オプションには、次のポートが含まれます。 FTP - TCP ポート 21 SFTP - TCP ポート 22 SCP - TCP ポート 22 イベント ファイルのホストが FTP、SFTP、または SCP に標準以外のポート番号を使用している場合は、ポート値を調整する必要があります。
   リモートユーザー	イベント・ファイルが入っているシステムにログインするために必要なユーザー名またはユーザー ID を入力します。 ログ・ファイルが IBM z/OS イメージ上にある場合は、IBM z/OS へのログインに必要なユーザー ID を入力します。ユーザー ID の長さは最大 8 文字です。 ログ・ファイルがファイル・リポジトリーにある場合は、ファイル・リポジトリーへのログインに必要なユーザー名を入力します。ユーザー名の長さは最大 255 文字です。
   リモートパスワード	ホストへのログインに必要なパスワードを入力します。
   パスワードの確認	ホストへのログインに必要なパスワードを確認します。
   SSHキーファイル	サービス タイプとして SCP または SFTP を選択した場合、このパラメータは SSH 秘密キー ファイルを定義するオプションを提供します。SSHキー ファイルを指定すると、[リモート パスワード(Remote Password)] フィールドは無視されます。
   リモートディレクトリ	ファイルの取得元のリモートホスト上のディレクトリの場所を、ログインに使用しているユーザーアカウントから相対的に入力します。
   再帰	ファイルパターンでリモートディレクトリ内のサブフォルダーを検索する場合は、このチェックボックスをオンにします。既定では、チェック ボックスはオフです。 サービスタイプとしてSCPを設定した場合、再帰オプションは無視されます。
   FTP ファイル パターン	サービスの種類として SFTP または FTP を選択した場合は、リモート ディレクトリで指定されたファイルのリストをフィルタリングするために必要な正規表現(regex)を設定できます。一致するすべてのファイルが処理に含まれます。 IBM Security zSecure Audit を使用する IBM z/OS メインフレームは、以下のパターンを使用してイベント・ファイルを書き込みます。 <product_name>.<timestamp>.gz 指定する FTP ファイル・パターンは、イベント・ファイルに割り当てた名前と一致する必要があります。例えば、 zOS で始まり .gz で終わるファイルを収集するには、次のコードを入力します。 zOS.*\.gz このパラメーターを使用するには、正規表現 (regex) の知識が必要です。正規表現の詳細については、「 レッスン : 正規表現」を参照してください。(http://download.oracle.com/javase/tutorial/essential/regex/)
   FTP 転送モード	このオプションは、[サービス タイプ] として [FTP] を選択した場合にのみ表示されます。リストから [バイナリ] を選択します。 バイナリー転送モードは、 zip、 gzip、 tar、 tar+gzip アーカイブ・ファイルなど、バイナリー形式または圧縮形式で保管されるイベント・ファイルに必要です。
   SCPリモートファイル	[サービスの種類] として [SCP] を選択した場合は、リモート ファイルのファイル名を入力する必要があります。
   開始時間	処理を開始する時刻を入力します。たとえば、 と入力し 00:00 て、深夜にイベント ファイルを収集するようにログ ファイル プロトコルをスケジュールします。 このパラメーターは Recurrence 値と共に機能し、リモート ディレクトリでファイルをスキャンするタイミングと頻度を確立します。開始時刻を 24 時間制で、HH: MM の形式で入力します。
   再発	リモート ディレクトリをスキャンする頻度を [開始時刻] から入力します。この値は、時間 (H)、分 (M)、または日 (D) で入力します。 たとえば、リモート ディレクトリを開始時刻から 2 時間ごとにスキャンするように入力します 2H 。デフォルトは 1H です。
   保存時に実行	[ 保存] をクリックした直後にログ ファイル プロトコルを実行する場合は、このチェック ボックスをオンにします。 保存時に実行が完了すると、ログ ファイル プロトコルは、構成された開始時刻と繰り返しスケジュールに従います。 「保存時に実行」を選択すると、「以前に処理されたファイルを無視」パラメーターの以前に処理されたファイルのリストがクリアされます。
   EPSスロットル	このプロトコルを超えないようにする1秒あたりのイベント数 (EPS) を入力します。有効な範囲は 100 から 5000 です。
   プロセッサ	一覧から [gzip] を選択します。 プロセッサを使用すると、イベント ファイルのアーカイブを展開し、イベントの内容をイベントに対して処理できます。ファイルはJSAにダウンロードされた後に処理されます。JSA では、 zip、 gzip、 tar、または tar+gzip アーカイブ形式のファイルを処理できます。
   以前に処理されたファイルを無視する	このチェック ボックスをオンにすると、ログ ファイル プロトコルによって既に処理されているファイルを追跡して無視できます。 JSA は、リモート ディレクトリ内のログ ファイルを調べて、ファイルが以前にログ ファイル プロトコルによって処理されたかどうかを判断します。以前に処理されたファイルが検出された場合、ログファイルプロトコルは処理のためにファイルをダウンロードしません。以前に処理されていないすべてのファイルがダウンロードされます。 このオプションは、FTP および SFTP サービス タイプにのみ適用されます。
   ローカルディレクトリを変更しますか?	このチェック・ボックスを選択すると、処理中にダウンロードされたファイルを保管するためのローカル・ディレクトリーが JSA に定義されます。 このチェック ボックスはオフのままにしておくことをお勧めします。このチェック ボックスをオンにすると、[ローカル ディレクトリ] フィールドが表示され、ファイルの格納に使用する ローカル ディレクトリ を構成できます。
   イベントジェネレータ	「イベント・ジェネレーター」リストから「ライン・バイ・ライン」を選択します。 イベント・ジェネレーターは、取得したイベント・ファイルにより多くの処理を適用します。各行は 1 つのイベントです。たとえば、ファイルに 10 行のテキストがある場合、10 個の個別のイベントが作成されます。

10. 「 保存」をクリックします。

11. [ 管理 ] タブで、[ 変更の展開] をクリックします。

    これで DSM の構成が完了しました。DSM でカスタム・イベント・プロパティーが必要な場合は、 『IBM Z/OS のカスタム・イベント・プロパティー』テクニカル・ノートを参照してください。

IBM DB2 監査イベントの統合

IBM DB2 DSM を使用すると、DB2 監査ログを JSA に統合して分析することができます。

db2audit コマンドは、監査が構成されて使用可能になっている場合に、JSA の監査データの範囲を定義する .del 拡張子を持つコンマ区切りテキスト・ファイルのセットを作成します。db2audit コマンドによって作成されるコンマ区切りファイルには、以下のものがあります。

• audit.del

• チェック.del

• context.del

• execute.del

• objmaint.del

• secmaint.del

• sysadmin.del

• validate.del

IBM DB2 DSM を JSA と統合するには、以下のことが必要です。

1. db2audit コマンドを使用して、IBM DB2 がセキュリティー・イベントを記録していることを確認します。詳しくは、 IBM DB2 ベンダーの資料 を参照してください。

2. インスタンスに含まれるイベントの DB2 監査データを、IBM DB2 のバージョンに応じてログ・ファイルに抽出します。

3. Log File プロトコル ソースを使用して、出力インスタンス ログ ファイルを取得し、その情報をスケジュールに基づいて JSA に送り返します。JSA はこのファイルをインポートして処理します。

DB2 V8.x から V9.4 への監査データの抽出

IBM DB2 v8.x から v9.4 を使用している場合、監査データを抽出できます。

1. SYSADMIN 特権で DB2 アカウントにログインします。

2. 次の start コマンドを入力して、データベース・インスタンスを監査します。

   db2audit start

   たとえば、start コマンドの応答は、次の出力のようになります。

   AUD00001 Operation succeeded.

3. インスタンスから監査ログに監査レコードを移動します。

   db2audit flush

   たとえば、flush コマンドの応答は、次の出力のようになります。

   AUD00001 Operation succeeded.

4. アーカイブされた監査ログからデータを抽出し、データを .del ファイルに書き込みます。

   db2audit extract delasc

   たとえば、アーカイブ コマンドの応答は、次の出力のようになります。

   AUD00001 Operation succeeded.

   メモ：

   二重引用符(")は、ASCIIファイルのデフォルトのテキスト区切り文字として使用され、区切り文字を変更しないでください。

5. 非アクティブなレコードを削除します。

   db2audit prune all

6. .del ファイルを、JSA がプルできるストレージの場所に移動します。カンマ区切り (.del) ファイルの移動は、JSA のファイル プル間隔と同期させる必要があります。

   これで、JSA でログ・ソースを作成して DB2 ログ・ファイルを収集する準備ができました。

DB2 V9.5 の監査データの抽出

監査データは、IBM DB2 v9.5 を使用している場合に抽出できます。

1. SYSADMIN 特権を持つ DB2 アカウントにログインします。

2. データベースインスタンスから監査ログに監査レコードを移動します。

   db2audit flush

   たとえば、flush コマンドの応答は、次の出力のようになります。

   AUD00001 Operation succeeded.

3. アクティブなインスタンスをアーカイブし、後で抽出するために新しい場所に移動します。

   db2audit archive

   たとえば、アーカイブ コマンドの応答は、次の出力のようになります。

   メモ：

   DB2 v9.5 以降では、アーカイブ・コマンドが prune コマンドに置き換わりました。

   archive コマンドは、アクティブな監査ログを新しい場所に移動し、ログからすべての非アクティブ・レコードを効果的にプルーニングします。抽出を実行する前に、アーカイブ コマンドを完了する必要があります。

4. アーカイブされた監査ログからデータを抽出し、データを .del ファイルに書き込みます。

   db2audit extract delasc from files db2audit.instance.log.0.200912171528

   たとえば、アーカイブ コマンドの応答は、次の出力のようになります。

   AUD00001 Operation succeeded.

   メモ：

   二重引用符(")は、ASCIIファイルのデフォルトのテキスト区切り文字として使用され、区切り文字を変更しないでください。

5. .del ファイルを、JSA がプルできるストレージの場所に移動します。カンマ区切り (.del) ファイルの移動は、JSA のファイル プル間隔と同期させる必要があります。

   これで、JSA でログ・ソースを作成して DB2 ログ・ファイルを収集する準備ができました。