Chinaunix

标题: 如何监控数据被DFU删除？ [打印本页]

作者: wdz315 时间: 2008-08-01 14:01
标题: 如何监控数据被DFU删除？
最近遇到一个非常郁闷的问题，有一条数据在一个表中不见了，但是，其他关联表中存在。

系统中是没有物理删除的语句被执行，所以怀疑是不是用户使用DFU删除了数据，sql的可能性也不存在。但是实在是找不到log和记录。

不知道用什么办法解决。请各位出出主意。

作者: qingzhou 时间: 2008-08-03 10:08
DFU维护记录后会产生SPLF,另外,最好用audit journal来查看.

作者: wdz315 时间: 2008-08-04 09:52

原帖由 qingzhou 于 2008-8-3 10:08 发表
DFU维护记录后会产生SPLF,另外,最好用audit journal来查看.

audit journal这个怎么查看？

作者: thursday 时间: 2008-08-04 10:11

看来是遇到不法用户了，哈哈

作者: thursday 时间: 2008-08-04 10:15
通过启动Auditing Journal来进行安全监控OS/400对象或用户

对于安全性要求比较高的AS400用户，比如：银行、保险等金融行业，可以通过启动Auditing Journal来进行安全监控，既可以监控对象(Object)的使用情况，也可以监控用户(User Profile)的行为，从而确保OS/400系统的安全性。以下分两种情况进行举例：
一、利用Audit Journal监控对象(Object)的使用情况
1、首先用具备*AUDIT特权的用户登陆OS/400。

2、通过WRKSYSVAL QAUDCTL—>2=Change将默认参数*NONE改为*OBJAUD，系统提示：System value QAUDCTL changed from *NONE to *OBJAUD.

3、假设我们需要监控LIU/EXECTL这个Object的使用情况，执行：CHGOBJAUD OBJ(LIU/EXECTL) OBJTYPE(*FILE) OBJAUD(*ALL)，系统提示：Object auditing value changed for EXECTL in LIU type *FILE. 表示启动监控LIU/EXECTL已经成功。

4、测试，比如我们执行 RUNQRY *N LIU/EXECTL 查询LIU/EXECTL数据库内容；或者通过DFU删除、修改了LIU/EXECTL的记录。

5、执行：DSPJRN JRN(QSYS/QAUDJRN)，就可以了解在监控时间内和监控对象有关的行为。

其中：
AD - Change auditing attribute 代表修改审记属性

ZR - Object read access 代表被监控对象被阅读

ZC - Object change access 代表被监控对象被修改

6、以ZR日志条目的类型为例，可以通过SQL筛选出该日志条目类型的所有记录。
执行 DSPJRN JRN(QSYS/QAUDJRN) ENTTYP(ZR) OUTPUT(*OUTFILE) OUTFILFMT(*TYPE2) OUTFILE(LIU/AUDZR) ，系统提示：Output file AUDZR created in library LIU.

7、执行STRSQL，然后执行 select * from liu/audzr，筛选ZR的日志条目类型如下。从而加强了对敏感数据的监控情况。

二、利用Audit Journal监控用户(User Profile)的使用情况
1、同样用具备*AUDIT特权的用户登陆AS400，在系统值QAUDCTL中追加*AUDLVL，系统提示： System value QAUDCTL changed from *OBJAUD to *OBJAUD *AUDLVL.

2、执行 CHGUSRAUD USRPRF(LIU) AUDLVL(*CMD *DELETE *SPLFDTA)，启动系统对用户：LIU进行监控，系统提示：Auditing value changed for user profile LIU.

3、退出OS/400，然后再重新登陆，测试：在OS/400命令行执行些CL命令，或删除个别对象。
然后执行：DSPJRN JRN(QSYS/QAUDJRN)，就可以了解在监控时间内和监控用户有关的行为。

其中：CD - Command string 代表运行CL命令

DO - Delete object 代表删除动作

4、同样可以通过SQL筛选出“CD”（代表运行CL命令）日志条目类型、用户为LIU的执行情况。
===> DSPJRN JRN(QAUDJRN) RCVRNG(*CURCHAIN) ENTTYP(CD) USRPRF(LIU) OUTPUT(*OUTFILE) OUTFILFMT(*TYPE2) OUTFILE(LIU/AUDCD) ，系统提示：Output file AUDCD created in library LIU.

5、执行STRSQL，然后执行 select * from liu/audcd，筛选CD的日志条目类型如下。从而加强了对特定用户的监控情况。

作者: fxf_china 时间: 2008-08-04 10:45
不错,顶一下,楼上辛苦了

作者: cdsd 时间: 2008-08-04 15:08
2点。

一、qingzhou资料很详细，但还没写完整。谁能预先知道要监控什么用户和什么对象？一个轻松的管理员是对全系统做监控。全系统的Audit：（步骤1）在系统值QAUDCTL 中输入*AUDLVL ；（步骤2）在系统值QAUDLVL中输入想要Audit的操作类型。
A change to this system value takes effect immediately for all jobs running on the system.

二、如果以前没有Audit，那么因该检查是否有journal，如果有jounal也可以查了。

作者: qingzhou 时间: 2008-08-04 15:27
AS400常见是设置系统值QAUDCTL为如下审计参数，以前的帖子只是说明一些用法而已。

Display System Value
System value . . . . . : QAUDCTL
Description . . . . . : Auditing control
Auditing
control
*NOQTEMP
*AUDLVL
*OBJAUD

复制代码

当然，有时通过PF关联的journal可以查询到记录被删除，但400有个比较遗憾的地方就是：无法知道删除的具体记录。
这个比较头疼。。。

作者: roden 时间: 2008-08-05 12:29
IMAGES(*BOTH)也不能知道具体的记录?

作者: qingzhou 时间: 2008-08-05 12:47
IMAGES(*BOTH)参数是为了利用JRN进行修改回退,即除了缺省的"After Images"还要包含"Before Images".

[ 本帖最后由 qingzhou 于 2008-12-5 09:48 编辑 ]

作者: wdz315 时间: 2008-08-13 19:30

原帖由 qingzhou 于 2008-8-5 12:47 发表
IMAGES(*BOTH)参数是为了利用JRN进行修改回退,即除了缺省的"After Images"还要包含"Before Images".

具体另外一个帖子有阐述.
http://bbs.chinaunix.net/viewthr ... ;highlight=qingzhou

最近试验了一下，发现系统里面在dfu数据以后，会有这样一个假脱机文件产生。

QPDZDTALOG  QPRINT    QGPL          1  13/08/08          28

具体内容。
5722SS1    V5R2M0  020719                            AUDIT LOG                               23/05/08 15:08:58    PAGE
Library/File . . . . . xxxxxxx/xxxxxxx
Member . . . . . . . . xxxxxxx
Job Title  . . . . . . WORK WITH DATA IN A FILE
               CUSTOMER/VENDOR ADDRESS BASED CODE DELIVERY ADDRESS COMPANY CODE DELETE CODE SITE CODE SITE SYSTEM NUMBER
               CODE FLAG                         CODE
Changed                C             D5698             01          01                   113       11321
               MANUFACTURING SHIP TO 1                               SHIP TO 2
               SITE CODE
                     113    CHINA HUALU.MATSUSHITA AVC CO.          ,LTD.
               SHIP TO 3                               SHIP TO 4
               NO.1 HUA ROAD HI-TECH INDUSTRI          AL ZONE. DALIAN CHINA
               SHIP TO 5                               ENTRY DATE ENTRY TIME UPDATE DATE UPDATE TIME DELETE DATE DELETE TIM
                                                         20021007 124740    20060628    132948          0       0
               WORKSTATION ID USER ID USER FIELD 1 USER FIELD 2 USER FIELD 3 USER FIELD 4 USER FIELD 5
                  ALCHSHHHA ALCHSH08
                                                                                    WD1
               USER FIELD 6
                        0

不知道是怎么产生的。

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)