收集 IBM DB2 日志

支持的平台：

Google SecOps SIEM

本文档介绍了如何使用 Bindplane 代理将 IBM DB2 日志提取到 Google Security Operations。

IBM Db2 是一种关系型数据库管理系统，提供审核功能，可帮助检测对数据的未知或意外访问。Db2 审核工具可针对一系列预定义的数据库事件生成并允许维护审核跟踪。

准备工作

请确保满足以下前提条件：

Google SecOps 实例
Windows Server 2016 或更高版本，或者具有 systemd 的 Linux 主机
Bindplane 代理与 IBM DB2 实例之间的网络连接
如果在代理后面运行，请确保防火墙端口根据 Bindplane 代理要求处于开放状态
具有 SYSADM 权限的 IBM DB2 实例（版本 11.1 或更高版本）
足够的磁盘空间，用于存储和归档审核日志

获取 Google SecOps 注入身份验证文件

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 收集代理。
点击下载以下载内容提交身份验证文件。
将文件安全地保存在将要安装 Bindplane 代理的系统上。

注意：此 JSON 文件包含用于向 Google SecOps 验证 Bindplane 代理身份的凭据。

获取 Google SecOps 客户 ID

登录 Google SecOps 控制台。
依次前往 SIEM 设置 > 个人资料。
复制并保存组织详细信息部分中的客户 ID。

注意：配置 Bindplane 代理导出器需要 customer ID。

安装 Bindplane 代理

按照以下说明在 Windows 或 Linux 操作系统上安装 Bindplane 代理。

Windows 安装

以管理员身份打开命令提示符或 PowerShell。

运行以下命令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安装完成。
运行以下命令来验证安装：
```
sc query observiq-otel-collector
```
该服务应显示为 RUNNING。

Linux 安装

打开具有 root 或 sudo 权限的终端。

运行以下命令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安装完成。
运行以下命令来验证安装：
```
sudo systemctl status observiq-otel-collector
```
该服务应显示为有效（正在运行）。

其他安装资源

如需了解其他安装选项和问题排查信息，请参阅 Bindplane 代理安装指南。

配置 Bindplane 代理以注入 syslog 并将其发送到 Google SecOps

找到配置文件

Linux：

sudo nano /opt/observiq-otel-collector/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

修改配置文件

将 config.yaml 的全部内容替换为以下配置：

receivers:
  tcplog:
    listen_address: "0.0.0.0:1514"

exporters:
  chronicle/db2_audit:
    compression: gzip
    creds_file_path: '/opt/observiq-otel-collector/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: DB2_DB
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/db2_to_chronicle:
      receivers:
        - tcplog
      exporters:
        - chronicle/db2_audit

替换以下占位符：
- 接收器配置：
  - listen_address：设置为 0.0.0.0:1514 可在端口 1514 上监听所有接口（建议 Linux 使用非特权端口）。
- 导出器配置：
  - creds_file_path：提取身份验证文件的完整路径：
    - Linux：/opt/observiq-otel-collector/ingestion-auth.json
    - Windows：C:\\Program Files\\observIQ OpenTelemetry Collector\\ingestion-auth.json
  - customer_id：上一步中的客户 ID
  - endpoint：区域端点网址：
    - 美国：malachiteingestion-pa.googleapis.com
    - 欧洲：europe-malachiteingestion-pa.googleapis.com
    - 亚洲：asia-southeast1-malachiteingestion-pa.googleapis.com
    - 如需查看完整列表，请参阅区域级端点
  - log_type：设置为 DB2_DB
  - ingestion_labels：YAML 格式的可选标签（例如 env: production）

保存配置文件

修改后，保存文件：
- Linux：依次按 Ctrl+O、Enter 和 Ctrl+X
- Windows：依次点击文件 > 保存

重启 Bindplane 代理以应用更改

Linux

sudo systemctl restart observiq-otel-collector

验证服务是否正在运行：

sudo systemctl status observiq-otel-collector

检查日志是否存在错误：

sudo journalctl -u observiq-otel-collector -f

Windows

请从下列选项中选择一项：
- 以管理员身份使用命令提示符或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 使用“服务”控制台：
  1. 按 Win+R，输入 services.msc，然后按 Enter 键。
  2. 找到 observIQ OpenTelemetry 收集器。
  3. 右键点击并选择重新启动。
  4. 验证服务是否正在运行：
```
sc query observiq-otel-collector
```
  5. 检查日志是否存在错误：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

配置 IBM DB2 审核工具

配置 DB2 审核功能以捕获安全事件，并将其提取到 syslog。

检查当前的审核配置

以具有 SYSADM 权限的用户身份连接到 DB2 实例，然后运行以下命令：
```
db2audit describe
```
此命令会显示当前的审核配置，包括审核状态、类别和路径。

配置审核路径

设置将存储审核日志的目录：

db2audit configure datapath /db2audit/data
db2audit configure archivepath /db2audit/archive

确保这些目录存在，且 DB2 实例所有者拥有相应的权限：

mkdir -p /db2audit/data /db2audit/archive
chown db2inst1:db2iadm1 /db2audit/data /db2audit/archive
chmod 750 /db2audit/data /db2audit/archive

配置审核范围和类别

配置审核工具以捕获所有安全事件：
```
db2audit configure scope all status both errortype normal
```
此配置会执行以下操作：
- scope all：审核所有类别（审核、检查、对象维护、安全维护、系统管理、验证、上下文）
- status both：同时捕获成功和失败的事件
- errortype normal：标准错误处理

启动审核功能

开始审核：
```
db2audit start
```
验证审核功能是否处于活跃状态：
```
db2audit describe
```
输出应显示 Audit active: "TRUE"。

配置 syslog 以接收 DB2 审核日志

配置系统 syslog 守护程序以接收和存储 DB2 审核消息。

Linux (rsyslog)

修改 rsyslog 配置文件：
```
sudo nano /etc/rsyslog.conf
```
添加以下代码行，将 DB2 审核消息路由到专用文件：
```
user.info /var/log/db2/db2audit.log
```

创建日志目录和文件：

sudo mkdir -p /var/log/db2
sudo touch /var/log/db2/db2audit.log
sudo chmod 640 /var/log/db2/db2audit.log

重启 rsyslog：
```
sudo systemctl restart rsyslog
```

AIX (syslogd)

修改 syslog 配置文件：
```
sudo vi /etc/syslog.conf
```
添加以下代码行：
```
user.info /var/log/db2/db2audit.log
```

创建日志目录和文件：

sudo mkdir -p /var/log/db2
sudo touch /var/log/db2/db2audit.log
sudo chmod 640 /var/log/db2/db2audit.log

重启 syslogd：
```
sudo refresh -s syslogd
```

将 DB2 审核日志提取到 syslog

提取归档的审核日志，并将其发送到系统 syslog 守护程序。

清空和归档审核日志

在提取之前，请刷新所有待处理的审核记录并归档当前的审核日志：
```
db2audit flush
db2audit archive
```
归档命令会在归档路径（例如 db2audit.instance.log.0.20250110123456）中创建带有时间戳的文件。

将审核日志提取到 syslog

提取归档的审核日志，并使用 user.info 设备和优先级将其发送到 syslog：
```
db2audit extract syslog user.info from files /db2audit/archive/db2audit.instance.log.0.*
```
此命令会执行以下操作：
- 从归档的日志文件中提取审核记录
- 将它们发送到系统 syslog 守护程序，并指定设备 user 和优先级 info
- syslog 守护程序会根据 /etc/syslog.conf 或 /etc/rsyslog.conf 路由消息

验证日志是否正在发送

检查审核消息是否正在写入 syslog 文件：
```
tail -f /var/log/db2/db2audit.log
```
您应该会在日志文件中看到 DB2 审核记录。

配置 rsyslog 以将日志转发到 Bindplane 代理

配置 rsyslog 以将 DB2 审核日志转发到 Bindplane 代理。

创建新的 rsyslog 配置文件：

sudo nano /etc/rsyslog.d/50-db2-forward.conf

添加以下配置以将日志转发到 Bindplane 代理：
```
# Forward DB2 audit logs to Bindplane agent
user.info @@127.0.0.1:1514
```
@@ 前缀表示 TCP 转发。如果需要，请使用 @ 进行 UDP。
重启 rsyslog：
```
sudo systemctl restart rsyslog
```

自动提取审核日志

创建脚本以自动执行清空、归档和提取流程。

创建提取脚本

创建脚本以自动提取审核日志：

sudo nano /usr/local/bin/db2audit-extract.sh

添加以下内容：

#!/bin/bash
# DB2 Audit Log Extraction Script

# Set DB2 environment
export DB2INSTANCE=db2inst1
. /home/db2inst1/sqllib/db2profile

# Flush pending audit records
db2audit flush

# Archive current audit log
db2audit archive

# Extract archived logs to syslog
db2audit extract syslog user.info from files /db2audit/archive/db2audit.instance.log.0.*

# Optional: Clean up old archived logs (older than 30 days)
find /db2audit/archive -name "db2audit.instance.log.0.*" -mtime +30 -delete

exit 0

让该脚本可执行：

sudo chmod +x /usr/local/bin/db2audit-extract.sh

使用 cron 进行调度

使用 cron 安排脚本定期运行：
```
sudo crontab -e
```

添加以下代码行，以便每小时运行一次脚本：

请从下列选项中选择一项：

0 * * * * /usr/local/bin/db2audit-extract.sh >> /var/log/db2/db2audit-extract.log 2>&1

或者每 15 分钟运行一次，以更频繁地提取数据：

*/15 * * * * /usr/local/bin/db2audit-extract.sh >> /var/log/db2/db2audit-extract.log 2>&1

验证 Google SecOps 中的日志注入

登录 Google SecOps 控制台。
前往搜索。
运行搜索查询以验证是否正在注入 DB2 日志：
```
metadata.log_type = "DB2_DB"
```
验证日志是否显示正确的时间戳和字段。

注意：初始配置完成后，日志可能需要 5 到 10 分钟才会显示在 Google SecOps 中。

UDM 映射表

日志字段	UDM 映射	逻辑
消息	event.idm.read_only_udm.additional.fields	如果 msg != ""，则取自 msg 的值
系统	event.idm.read_only_udm.additional.fields	如果“系统”不为空，则取自“系统”的值
子系统	event.idm.read_only_udm.additional.fields	如果子系统不为空，则从子系统获取值
auth_mechanism	event.idm.read_only_udm.extensions.auth.mechanism	对于 USER_LOGIN 事件，设置为“USERNAME_PASSWORD”
CorrelationUser	event.idm.read_only_udm.intermediary.user.userid	如果 CorrelationUser 不等于 ""，则取自 CorrelationUser 的值
总和	event.idm.read_only_udm.metadata.description	从总和中取出的值
date_time	event.idm.read_only_udm.metadata.event_timestamp	如果日期和时间字段均不为空，则从这些字段转换为 ISO8601 格式
leef_event_id	event.idm.read_only_udm.metadata.product_event_type	值取自 leef_event_id
	event.idm.read_only_udm.metadata.event_type	派生自 leef_event_id：如果属于 ["102-87", "102-83"] → USER_LOGIN；如果属于 ["102-6", "102-7", "102-8", "102-10", "102-24", "102-143"] → USER_RESOURCE_ACCESS 或 USER_RESOURCE_UPDATE_CONTENT（取决于 intent）；如果为“102-319”→ USER_RESOURCE_ACCESS；否则为 GENERIC_EVENT
	event.idm.read_only_udm.metadata.product_name	设置为“DB2”
	event.idm.read_only_udm.metadata.vendor_name	设置为“IBM”
SSID	event.idm.read_only_udm.network.session_id	如果 SSID != ""，则取自 SSID 的值
作业	event.idm.read_only_udm.principal.application	如果作业不为空，则从作业中获取值
sourceServiceName	event.idm.read_only_udm.principal.application	从 sourceServiceName 中获取的值
sourceHostName	event.idm.read_only_udm.principal.asset.hostname	如果 sourceHostName != ""，则取自 sourceHostName 的值
principal_ip	event.idm.read_only_udm.principal.asset.ip	从 102-319 事件的 principal_ip 中获取的值
product_id	event.idm.read_only_udm.principal.asset_id	对于 102-319 事件，设置为“商品 ID：%{product_id}”
sourceHostName	event.idm.read_only_udm.principal.hostname	如果 sourceHostName != ""，则取自 sourceHostName 的值
principal_ip	event.idm.read_only_udm.principal.ip	从 102-319 事件的 principal_ip 中获取的值
创建者	event.idm.read_only_udm.principal.user.user_display_name	从创作者处获取的值
name	event.idm.read_only_udm.principal.user.user_display_name	如果 name != ""，则取自 name 的值
AuthenticatedUser	event.idm.read_only_udm.principal.user.userid	如果 AuthenticatedUser 不等于“”，则取自 AuthenticatedUser 的值
sourceUserName	event.idm.read_only_udm.principal.user.userid	从 sourceUserName 中获取的值
usrName	event.idm.read_only_udm.principal.user.userid	从 usrName 中获取的值
_action	event.idm.read_only_udm.security_result.action	派生自 sum：如果包含“successful”→ 允许；否则阻止 USER_LOGIN 事件
deviceHostName	event.idm.read_only_udm.target.asset.hostname	从 deviceHostName 中获取的值
conn_location3	event.idm.read_only_udm.target.asset.hostname	如果 conn_location3 != ""，则取自 conn_location3 的值
file_name	event.idm.read_only_udm.target.file.full_path	如果 file_name != ""，则取自 file_name 的值
deviceHostName	event.idm.read_only_udm.target.hostname	从 deviceHostName 中获取的值
conn_location3	event.idm.read_only_udm.target.hostname	如果 conn_location3 != ""，则取自 conn_location3 的值
conn_location、conn_location2	event.idm.read_only_udm.target.location.name	如果 conn_location 和 conn_location2 均不为“”，则将它们串联起来
deviceProcessName	event.idm.read_only_udm.target.process.command_line	从 deviceProcessName 中获取的值
SQL	event.idm.read_only_udm.target.process.command_line	如果 SQL != ""，则取自 SQL 的值
Connection_Type	event.idm.read_only_udm.target.resource.attribute.labels	键“Connection Type”，值来自 Connection_Type
方案	event.idm.read_only_udm.target.resource.attribute.labels	键“Plan”，值来自 Plan
DB2_Subsystem	event.idm.read_only_udm.target.resource.attribute.labels	键“DB2 子系统”，其值来自 DB2_Subsystem
Priv_Check_Code	event.idm.read_only_udm.target.resource.attribute.labels	键“Priv Check Code”，值来自 Priv_Check_Code
Table_Name	event.idm.read_only_udm.target.resource.attribute.labels	键“Table Name”，值来自 Table_Name
MessageType	event.idm.read_only_udm.target.resource.attribute.labels	键“消息类型”，值来自 MessageType
Check_type	event.idm.read_only_udm.target.resource.attribute.labels	键“Check Type”，值来自 Check_type
deviceAction	event.idm.read_only_udm.target.resource.attribute.labels	键“Device Action”，其值映射自 deviceAction：G → GRANT，R → REVOKE
SSID	event.idm.read_only_udm.target.resource.attribute.labels	如果值不等于“”，则使用来自 SSID 的值作为键“SSID”的值
SQL	event.idm.read_only_udm.target.resource.attribute.labels	如果 SQL 不等于 ""，则使用 SQL 中的值作为键“SQL Query”的值
messageid	event.idm.read_only_udm.target.resource.id	从 messageid 中提取的值
Object_Class_Code	event.idm.read_only_udm.target.resource.parent	从 Object_Class_Code 中获取的值
obj	event.idm.read_only_udm.target.resource.name	从 obj 获取的值
资源名称	event.idm.read_only_udm.target.resource.name	如果 SQL 不等于“”，且不为空，则从 SQL 中提取的 resource_name 中获取值
Database_Name	event.idm.read_only_udm.target.resource.name	从 Database_Name 中获取的值
objtyp	event.idm.read_only_udm.target.resource.resource_subtype	如果 objtyp != ""，则取自 objtyp（大写）的值
类型	event.idm.read_only_udm.target.resource.resource_subtype	派生自类型：T → TABLE，V → VIEW，X → AUXILIARY TABLE
	event.idm.read_only_udm.target.resource.resource_type	设置为“DATABASE”