Comment analyser le trafic TCP/IP sur votre IBMi en utilisant les journaux d’audit

Vous devez vérifier que le journal d’audit QAUDJRN de QSYS existe

Vous devez Vérifier que vous avez les valeurs suivantes dans QAUDLVL

Dans la valeur système QAUDLVL
NETCMN Connexions TCP/IP, ports, adresses IP
NETFAIL Échecs de connexions
NETSCK Création / fermeture de sockets

Ce qui générera les entrées suivantes dans QAUDJRN sous les codes :

Code Description
NC Network Communications (connexions TCP/IP)
NF Network Failures
SK Socket events

Exemple de requêtes d’analyse

Une première requête d’analyse à affiner

Les 3 codes à analyser sur les dernières 24 heures

SELECT x.ENTRY_TIMESTAMP AS DATE_HEURE,
x.JOURNAL_CODE AS code,
x.JOURNAL_ENTRY_TYPE AS type,
SUBSTR(VARCHAR(ENTRY_DATA, 5000), 2, 15) AS ADRESSE_SOURCE,
SUBSTR(VARCHAR(ENTRY_DATA, 5000), 17, 5) AS PORT_SOURCE,
SUBSTR(VARCHAR(ENTRY_DATA, 5000), 22, 15) AS ADRESSE_CIBLE,
SUBSTR(VARCHAR(ENTRY_DATA, 5000), 37, 5) AS PORT_CIBLE
FROM TABLE (
QSYS2.Display_Journal(‘QSYS’, ‘QAUDJRN’,
— JOURNAL_ENTRY_TYPES => ‘SK’ ,
STARTING_TIMESTAMP => CURRENT TIMESTAMP – 24 HOURS
)
) AS x
WHERE x.JOURNAL_ENTRY_TYPE IN (‘NC’, ‘NF’, ‘SK’)

A la différence du NETSTAT suivant qui vous donne à l’information à l’instant T

SELECT
LOCAL_ADDRESS AS IP_LOCALE,
LOCAL_PORT AS PORT_SOURCE,
REMOTE_ADDRESS AS IP_DISTANTE,
REMOTE_PORT AS PORT_CIBLE,
CONNECTION_TYPE AS TYPE_CONNEXION
FROM QSYS2.NETSTAT_INFO
WHERE CONNECTION_TYPE = ‘IPV4’;

Remarque :

Il n’existe pas encore de service dans SYSTOOLS AUDIT_JOURNAL_SK() dommage

Vous pourrez cibler des ports, des adresses ou des plages etc.