收集 IBM DB2 記錄

支援的國家/地區：

Google SecOps SIEM

本文說明如何使用 Bindplane 代理程式，將 IBM DB2 記錄擷取至 Google Security Operations。

IBM Db2 是一種關聯式資料庫管理系統，提供稽核功能，協助偵測不明或非預期的資料存取行為。Db2 稽核功能會產生一系列預先定義的資料庫事件稽核追蹤記錄，並允許維護這些記錄。

事前準備

請確認您已完成下列事前準備事項：

Google SecOps 執行個體
Windows Server 2016 以上版本，或搭載 systemd 的 Linux 主機
Bindplane 代理程式與 IBM DB2 執行個體之間的網路連線
如果透過 Proxy 執行，請確保防火牆通訊埠已根據 Bindplane 代理程式需求開啟
IBM DB2 執行個體 (11.1 以上版本)，具備 SYSADM 權限
有足夠的磁碟空間可儲存及封存稽核記錄

取得 Google SecOps 擷取驗證檔案

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「收集代理程式」。
按一下「下載」即可下載擷取驗證檔案。
將檔案安全地儲存在要安裝 Bindplane 代理程式的系統中。

注意： 這個 JSON 檔案包含驗證 Bindplane 代理程式與 Google SecOps 的憑證。

取得 Google SecOps 客戶 ID

登入 Google SecOps 控制台。
依序前往「SIEM 設定」>「設定檔」。
複製並儲存「機構詳細資料」專區中的客戶 ID。

注意： 設定 Bindplane 代理程式匯出工具時，需要使用 customer ID。

安裝 Bindplane 代理程式

請按照下列操作說明，在 Windows 或 Linux 作業系統上安裝 Bindplane 代理程式。

Windows 安裝

以管理員身分開啟「命令提示字元」或「PowerShell」。

執行下列指令：

msiexec /i "https://github.com/observIQ/bindplane-agent/releases/latest/download/observiq-otel-collector.msi" /quiet

等待安裝完成。
執行下列指令來驗證安裝：
```
sc query observiq-otel-collector
```
服務應顯示為「RUNNING」(執行中)。

安裝 Linux

開啟具備根層級或 sudo 權限的終端機。

執行下列指令：

sudo sh -c "$(curl -fsSlL https://github.com/observiq/bindplane-agent/releases/latest/download/install_unix.sh)" install_unix.sh

等待安裝完成。
執行下列指令來驗證安裝：
```
sudo systemctl status observiq-otel-collector
```
服務應顯示為啟用 (執行中)。

其他安裝資源

如需其他安裝選項和疑難排解資訊，請參閱 Bindplane 代理程式安裝指南。

設定 Bindplane 代理程式，擷取系統記錄檔並傳送至 Google SecOps

找出設定檔

Linux：

sudo nano /opt/observiq-otel-collector/config.yaml

Windows：

notepad "C:\Program Files\observIQ OpenTelemetry Collector\config.yaml"

編輯設定檔

將 config.yaml 的所有內容替換為下列設定：

receivers:
  tcplog:
    listen_address: "0.0.0.0:1514"

exporters:
  chronicle/db2_audit:
    compression: gzip
    creds_file_path: '/opt/observiq-otel-collector/ingestion-auth.json'
    customer_id: 'YOUR_CUSTOMER_ID'
    endpoint: malachiteingestion-pa.googleapis.com
    log_type: DB2_DB
    raw_log_field: body
    ingestion_labels:
      env: production

service:
  pipelines:
    logs/db2_to_chronicle:
      receivers:
        - tcplog
      exporters:
        - chronicle/db2_audit

請替換下列預留位置：
- 接收器設定：
  - listen_address：設為 0.0.0.0:1514，即可在通訊埠 1514 的所有介面上監聽 (建議在 Linux 上使用非特權通訊埠)。
- 匯出工具設定：
  - creds_file_path：擷取驗證檔案的完整路徑：
    - Linux：/opt/observiq-otel-collector/ingestion-auth.json
    - Windows：C:\\Program Files\\observIQ OpenTelemetry Collector\\ingestion-auth.json
  - customer_id：上一步中的客戶 ID
  - endpoint：區域端點網址：
    - 美國：malachiteingestion-pa.googleapis.com
    - 歐洲：europe-malachiteingestion-pa.googleapis.com
    - 亞洲：asia-southeast1-malachiteingestion-pa.googleapis.com
    - 如需完整清單，請參閱「區域端點」
  - log_type：設為 DB2_DB。
  - ingestion_labels：YAML 格式的選用標籤 (例如 env: production)

儲存設定檔

編輯完成後，請儲存檔案：
- Linux：依序按下 Ctrl+O、Enter 和 Ctrl+X
- Windows：依序點選「檔案」>「儲存」

重新啟動 Bindplane 代理程式，以套用變更

Linux

sudo systemctl restart observiq-otel-collector

確認服務正在執行：

sudo systemctl status observiq-otel-collector

檢查記錄中是否有錯誤：

sudo journalctl -u observiq-otel-collector -f

Windows

選擇下列其中一種做法：
- 以管理員身分使用命令提示字元或 PowerShell：
```
net stop observiq-otel-collector && net start observiq-otel-collector
```
- 使用服務控制台：
  1. 按下 Win+R 鍵，輸入 services.msc，然後按下 Enter 鍵。
  2. 找出 observIQ OpenTelemetry Collector。
  3. 按一下滑鼠右鍵，然後選取「重新啟動」。
  4. 確認服務正在執行：
```
sc query observiq-otel-collector
```
  5. 檢查記錄中是否有錯誤：
```
type "C:\Program Files\observIQ OpenTelemetry Collector\log\collector.log"
```

設定 IBM DB2 稽核功能

設定 DB2 稽核功能，擷取安全性事件並將其匯出至系統記錄。

查看目前的稽核設定

以具備 SYSADM 授權的使用者身分連線至 DB2 執行個體，然後執行下列指令：
```
db2audit describe
```
這會顯示目前的稽核設定，包括稽核狀態、類別和路徑。

設定稽核路徑

設定稽核記錄的儲存目錄：

db2audit configure datapath /db2audit/data
db2audit configure archivepath /db2audit/archive

請確認這些目錄存在，且 DB2 執行個體擁有者具備適當權限：

mkdir -p /db2audit/data /db2audit/archive
chown db2inst1:db2iadm1 /db2audit/data /db2audit/archive
chmod 750 /db2audit/data /db2audit/archive

設定稽核範圍和類別

設定稽核機制，擷取所有安全性事件：
```
db2audit configure scope all status both errortype normal
```
這會設定：
- scope all：稽核所有類別 (稽核、檢查、objmaint、secmaint、sysadmin、驗證、內容)
- status both：擷取成功和失敗的事件
- errortype normal：標準錯誤處理

啟動稽核設施

開始稽核：
```
db2audit start
```
確認稽核功能是否已啟用：
```
db2audit describe
```
輸出內容應顯示 Audit active: "TRUE"。

設定系統記錄檔，接收 DB2 稽核記錄

設定系統記錄檔精靈，接收及儲存 DB2 稽核訊息。

Linux (rsyslog)

編輯 rsyslog 設定檔：
```
sudo nano /etc/rsyslog.conf
```
新增下列程式碼，將 DB2 稽核訊息傳送至專用檔案：
```
user.info /var/log/db2/db2audit.log
```

建立記錄目錄和檔案：

sudo mkdir -p /var/log/db2
sudo touch /var/log/db2/db2audit.log
sudo chmod 640 /var/log/db2/db2audit.log

重新啟動 rsyslog：
```
sudo systemctl restart rsyslog
```

AIX (syslogd)

編輯系統記錄設定檔：
```
sudo vi /etc/syslog.conf
```
新增下列程式碼：
```
user.info /var/log/db2/db2audit.log
```

建立記錄目錄和檔案：

sudo mkdir -p /var/log/db2
sudo touch /var/log/db2/db2audit.log
sudo chmod 640 /var/log/db2/db2audit.log

重新啟動 syslogd：
```
sudo refresh -s syslogd
```

將 DB2 稽核記錄擷取至系統記錄

擷取封存的稽核記錄，並傳送至系統 Syslog Daemon。

清除及封存稽核記錄

擷取前，請清除所有待處理的稽核記錄，並封存目前的稽核記錄：
```
db2audit flush
db2audit archive
```
封存指令會在封存路徑 (例如 db2audit.instance.log.0.20250110123456) 中建立含有時間戳記的檔案。

將稽核記錄擷取至系統記錄

使用 user.info 設施和優先順序，擷取封存的稽核記錄並傳送至系統記錄檔：
```
db2audit extract syslog user.info from files /db2audit/archive/db2audit.instance.log.0.*
```
此指令會執行下列作業：
- 從封存的記錄檔中擷取稽核記錄
- 將這些訊息傳送至系統 syslog 精靈，並提供設施 user 和優先順序 info
- 系統記錄檔精靈會根據 /etc/syslog.conf 或 /etc/rsyslog.conf 轉送訊息

確認記錄是否已傳送

確認稽核訊息是否寫入 syslog 檔案：
```
tail -f /var/log/db2/db2audit.log
```
您應該會在記錄檔中看到 DB2 稽核記錄。

設定 rsyslog 將記錄轉送至 Bindplane 代理程式

設定 rsyslog，將 DB2 稽核記錄轉送至 Bindplane 代理程式。

建立新的 rsyslog 設定檔：

sudo nano /etc/rsyslog.d/50-db2-forward.conf

新增下列設定，將記錄轉送至 Bindplane 代理程式：
```
# Forward DB2 audit logs to Bindplane agent
user.info @@127.0.0.1:1514
```
前置字串 @@ 表示 TCP 轉送。視需要使用 @ 進行 UDP。
重新啟動 rsyslog：
```
sudo systemctl restart rsyslog
```

自動擷取稽核記錄

建立指令碼，自動執行清除、封存及擷取程序。

建立擷取指令碼

建立指令碼，自動擷取稽核記錄：

sudo nano /usr/local/bin/db2audit-extract.sh

新增下列內容：

#!/bin/bash
# DB2 Audit Log Extraction Script

# Set DB2 environment
export DB2INSTANCE=db2inst1
. /home/db2inst1/sqllib/db2profile

# Flush pending audit records
db2audit flush

# Archive current audit log
db2audit archive

# Extract archived logs to syslog
db2audit extract syslog user.info from files /db2audit/archive/db2audit.instance.log.0.*

# Optional: Clean up old archived logs (older than 30 days)
find /db2audit/archive -name "db2audit.instance.log.0.*" -mtime +30 -delete

exit 0

將指令碼設定為可執行：

sudo chmod +x /usr/local/bin/db2audit-extract.sh

使用 Cron 排程

使用 Cron 定期執行指令碼：
```
sudo crontab -e
```

新增下列程式碼，每小時執行一次指令碼：

選擇下列其中一種做法：

0 * * * * /usr/local/bin/db2audit-extract.sh >> /var/log/db2/db2audit-extract.log 2>&1

或者每 15 分鐘執行一次，以更頻繁地擷取資料：

*/15 * * * * /usr/local/bin/db2audit-extract.sh >> /var/log/db2/db2audit-extract.log 2>&1

在 Google SecOps 中確認記錄擷取作業

登入 Google SecOps 控制台。
前往「搜尋」。
執行搜尋查詢，確認系統是否正在擷取 DB2 記錄：
```
metadata.log_type = "DB2_DB"
```
確認記錄顯示的時間戳記和欄位是否正確。

注意： 完成初始設定後，記錄可能需要 5 到 10 分鐘才會顯示在 Google SecOps 中。

UDM 對應表

記錄欄位	UDM 對應	邏輯
msg	event.idm.read_only_udm.additional.fields	如果 msg != ""，則取自 msg 的值
系統	event.idm.read_only_udm.additional.fields	如果「系統」!=「」，則取自「系統」的值
子系統	event.idm.read_only_udm.additional.fields	如果 Subsystem != ""，則取自 Subsystem 的值
auth_mechanism	event.idm.read_only_udm.extensions.auth.mechanism	針對 USER_LOGIN 事件設為「USERNAME_PASSWORD」
CorrelationUser	event.idm.read_only_udm.intermediary.user.userid	如果 CorrelationUser != ""，則取自 CorrelationUser 的值
總計	event.idm.read_only_udm.metadata.description	從總和取值
date_time	event.idm.read_only_udm.metadata.event_timestamp	如果日期和時間欄位皆不等於「」，則從這些欄位轉換為 ISO8601 格式
leef_event_id	event.idm.read_only_udm.metadata.product_event_type	取自 leef_event_id 的值
	event.idm.read_only_udm.metadata.event_type	衍生自 leef_event_id：如果屬於 ["102-87"、"102-83"] → USER_LOGIN；如果屬於 ["102-6"、"102-7"、"102-8"、"102-10"、"102-24"、"102-143"] → USER_RESOURCE_ACCESS 或 USER_RESOURCE_UPDATE_CONTENT (視意圖而定)；如果為「102-319」→ USER_RESOURCE_ACCESS；否則為 GENERIC_EVENT
	event.idm.read_only_udm.metadata.product_name	設為「DB2」
	event.idm.read_only_udm.metadata.vendor_name	設為「IBM」
SSID	event.idm.read_only_udm.network.session_id	如果 SSID != ""，則取自 SSID 的值
工作	event.idm.read_only_udm.principal.application	如果工作 !=「」，則取自工作的值
sourceServiceName	event.idm.read_only_udm.principal.application	取自 sourceServiceName 的值
sourceHostName	event.idm.read_only_udm.principal.asset.hostname	如果 sourceHostName != ""，則取自 sourceHostName 的值
principal_ip	event.idm.read_only_udm.principal.asset.ip	取自 102-319 事件的 principal_ip 值
product_id	event.idm.read_only_udm.principal.asset_id	針對 102-319 事件設為「產品 ID：%{product_id}」
sourceHostName	event.idm.read_only_udm.principal.hostname	如果 sourceHostName != ""，則取自 sourceHostName 的值
principal_ip	event.idm.read_only_udm.principal.ip	取自 102-319 事件的 principal_ip 值
建立者	event.idm.read_only_udm.principal.user.user_display_name	從創作者取得的值
名稱	event.idm.read_only_udm.principal.user.user_display_name	如果 name != ""，則取自 name 的值
AuthenticatedUser	event.idm.read_only_udm.principal.user.userid	如果 AuthenticatedUser != ""，則取自 AuthenticatedUser 的值
sourceUserName	event.idm.read_only_udm.principal.user.userid	取自 sourceUserName 的值
usrName	event.idm.read_only_udm.principal.user.userid	從 usrName 取得的值
_action	event.idm.read_only_udm.security_result.action	衍生自總和：如果包含「successful」→ ALLOW；否則 BLOCK for USER_LOGIN events
deviceHostName	event.idm.read_only_udm.target.asset.hostname	取自 deviceHostName 的值
conn_location3	event.idm.read_only_udm.target.asset.hostname	如果 conn_location3 != ""，則取自 conn_location3 的值
file_name	event.idm.read_only_udm.target.file.full_path	如果 file_name != ""，則取自 file_name 的值
deviceHostName	event.idm.read_only_udm.target.hostname	取自 deviceHostName 的值
conn_location3	event.idm.read_only_udm.target.hostname	如果 conn_location3 != ""，則取自 conn_location3 的值
conn_location、conn_location2	event.idm.read_only_udm.target.location.name	如果 conn_location 和 conn_location2 都不是「」，則會串連這兩個值
deviceProcessName	event.idm.read_only_udm.target.process.command_line	從 deviceProcessName 取得的值
SQL	event.idm.read_only_udm.target.process.command_line	如果 SQL != ""，則取自 SQL 的值
Connection_Type	event.idm.read_only_udm.target.resource.attribute.labels	鍵「連線類型」，值來自 Connection_Type
方案	event.idm.read_only_udm.target.resource.attribute.labels	「方案」鍵，值來自方案
DB2_Subsystem	event.idm.read_only_udm.target.resource.attribute.labels	鍵「DB2 Subsystem」，值來自 DB2_Subsystem
Priv_Check_Code	event.idm.read_only_udm.target.resource.attribute.labels	「Priv Check Code」鍵，值來自 Priv_Check_Code
Table_Name	event.idm.read_only_udm.target.resource.attribute.labels	索引鍵「Table Name」，值來自 Table_Name
MessageType	event.idm.read_only_udm.target.resource.attribute.labels	「訊息類型」鍵，值來自 MessageType
Check_type	event.idm.read_only_udm.target.resource.attribute.labels	以 Check_type 中的值做為「Check Type」鍵
deviceAction	event.idm.read_only_udm.target.resource.attribute.labels	「Device Action」鍵，值是從 deviceAction 對應而來：G → GRANT、R → REVOKE
SSID	event.idm.read_only_udm.target.resource.attribute.labels	如果值 !=「」，則索引鍵「SSID」的值來自 SSID
SQL	event.idm.read_only_udm.target.resource.attribute.labels	如果 SQL != ""，則「SQL Query」鍵的值來自 SQL
messageid	event.idm.read_only_udm.target.resource.id	從 messageid 取得的值
Object_Class_Code	event.idm.read_only_udm.target.resource.parent	取自 Object_Class_Code 的值
obj	event.idm.read_only_udm.target.resource.name	從 obj 取得的值
資源名稱	event.idm.read_only_udm.target.resource.name	如果 SQL != "" 且不為空白，則取自從 SQL 擷取的 resource_name
Database_Name	event.idm.read_only_udm.target.resource.name	從 Database_Name 取得的值
objtyp	event.idm.read_only_udm.target.resource.resource_subtype	如果 objtyp != ""，則取自 objtyp 的值 (大寫)
類型	event.idm.read_only_udm.target.resource.resource_subtype	衍生自類型：T → TABLE、V → VIEW、X → AUXILIARY TABLE
	event.idm.read_only_udm.target.resource.resource_type	設為「DATABASE」

需要其他協助嗎？向社群成員和 Google SecOps 專業人員尋求答案。