对于安全性要求比较高的AS400用户,比如:银行、保险等金融行业,可以通过启动Auditing Journal来进行安全监控,既可以监控对象(Object)的使用情况,也可以监控用户(User Profile)的行为,从而确保OS/400系统的安全性。以下分两种情况进行举例: 一、利用Audit Journal监控对象(Object)的使用情况
1、首先用具备*AUDIT特权的用户登陆OS/400。
2、通过WRKSYSVAL QAUDCTL—>2=Change将默认参数*NONE改为*OBJAUD,系统提示:System value QAUDCTL changed from *NONE to *OBJAUD.
3、假设我们需要监控LIU/EXECTL这个Object的使用情况,执行:CHGOBJAUD OBJ(LIU/EXECTL) OBJTYPE(*FILE) OBJAUD(*ALL),系统提示:Object auditing value changed for EXECTL in LIU type *FILE. 表示启动监控LIU/EXECTL已经成功。
4、测试,比如我们执行 RUNQRY *N LIU/EXECTL 查询LIU/EXECTL数据库内容;或者通过DFU删除、修改了LIU/EXECTL的记录。
5、执行:DSPJRN JRN(QSYS/QAUDJRN),就可以了解在监控时间内和监控对象有关的行为。
其中:
AD - Change auditing attribute 代表修改审记属性
ZR - Object read access 代表被监控对象被阅读
ZC - Object change access 代表被监控对象被修改
6、以ZR日志条目的类型为例,可以通过SQL筛选出该日志条目类型的所有记录。
执行 DSPJRN JRN(QSYS/QAUDJRN) ENTTYP(ZR) OUTPUT(*OUTFILE) OUTFILFMT(*TYPE2) OUTFILE(LIU/AUDZR) ,系统提示:Output file AUDZR created in library LIU.
7、执行STRSQL,然后执行 select * from liu/audzr,筛选ZR的日志条目类型如下。从而加强了对敏感数据的监控情况。
二、利用Audit Journal监控用户(User Profile)的使用情况
1、同样用具备*AUDIT特权的用户登陆AS400,在系统值QAUDCTL中追加*AUDLVL,系统提示: System value QAUDCTL changed from *OBJAUD to *OBJAUD *AUDLVL.
2、执行 CHGUSRAUD USRPRF(LIU) AUDLVL(*CMD *DELETE *SPLFDTA),启动系统对用户:LIU进行监控,系统提示:Auditing value changed for user profile LIU.
一、qingzhou资料很详细,但还没写完整。谁能预先知道要监控什么用户和什么对象?一个轻松的管理员是对全系统做监控。全系统的Audit:(步骤1)在系统值QAUDCTL 中输入*AUDLVL ;(步骤2)在系统值QAUDLVL中输入想要Audit的操作类型。
A change to this system value takes effect immediately for all jobs running on the system.
具体内容。
5722SS1 V5R2M0 020719 AUDIT LOG 23/05/08 15:08:58 PAGE
Library/File . . . . . xxxxxxx/xxxxxxx
Member . . . . . . . . xxxxxxx
Job Title . . . . . . WORK WITH DATA IN A FILE
CUSTOMER/VENDOR ADDRESS BASED CODE DELIVERY ADDRESS COMPANY CODE DELETE CODE SITE CODE SITE SYSTEM NUMBER
CODE FLAG CODE
Changed C D5698 01 01 113 11321
MANUFACTURING SHIP TO 1 SHIP TO 2
SITE CODE
113 CHINA HUALU.MATSUSHITA AVC CO. ,LTD.
SHIP TO 3 SHIP TO 4
NO.1 HUA ROAD HI-TECH INDUSTRI AL ZONE. DALIAN CHINA
SHIP TO 5 ENTRY DATE ENTRY TIME UPDATE DATE UPDATE TIME DELETE DATE DELETE TIM
20021007 124740 20060628 132948 0 0
WORKSTATION ID USER ID USER FIELD 1 USER FIELD 2 USER FIELD 3 USER FIELD 4 USER FIELD 5
ALCHSHHHA ALCHSH08
WD1
USER FIELD 6
0