如何监控数据被DFU删除？

wdz315

最近遇到一个非常郁闷的问题，有一条数据在一个表中不见了，但是，其他关联表中存在。

系统中是没有物理删除的语句被执行，所以怀疑是不是用户使用DFU删除了数据，sql的可能性也不存在。但是实在是找不到log和记录。

不知道用什么办法解决。请各位出出主意。

qingzhou

DFU维护记录后会产生SPLF,另外,最好用audit journal来查看.

wdz315

原帖由 qingzhou 于 2008-8-3 10:08 发表
DFU维护记录后会产生SPLF,另外,最好用audit journal来查看.

audit journal这个怎么查看？

thursday

看来是遇到不法用户了，哈哈

thursday

通过启动Auditing Journal来进行安全监控OS/400对象或用户
                                   
对于安全性要求比较高的AS400用户，比如：银行、保险等金融行业，可以通过启动Auditing Journal来进行安全监控，既可以监控对象(Object)的使用情况，也可以监控用户(User Profile)的行为，从而确保OS/400系统的安全性。以下分两种情况进行举例：
一、利用Audit Journal监控对象(Object)的使用情况
1、首先用具备*AUDIT特权的用户登陆OS/400。

2、通过WRKSYSVAL QAUDCTL—>2=Change将默认参数*NONE改为*OBJAUD，系统提示：System value QAUDCTL changed from *NONE to *OBJAUD.


3、假设我们需要监控LIU/EXECTL这个Object的使用情况，执行：CHGOBJAUD OBJ(LIU/EXECTL) OBJTYPE(*FILE) OBJAUD(*ALL)，系统提示：Object auditing value changed for EXECTL in LIU type *FILE. 表示启动监控LIU/EXECTL已经成功。

4、测试，比如我们执行 RUNQRY *N LIU/EXECTL 查询LIU/EXECTL数据库内容；或者通过DFU删除、修改了LIU/EXECTL的记录。

5、执行：DSPJRN JRN(QSYS/QAUDJRN)，就可以了解在监控时间内和监控对象有关的行为。

其中：
AD - Change auditing attribute 代表修改审记属性


ZR - Object read access 代表被监控对象被阅读


ZC - Object change access  代表被监控对象被修改


6、以ZR日志条目的类型为例，可以通过SQL筛选出该日志条目类型的所有记录。
执行 DSPJRN JRN(QSYS/QAUDJRN) ENTTYP(ZR) OUTPUT(*OUTFILE) OUTFILFMT(*TYPE2) OUTFILE(LIU/AUDZR) ，系统提示：Output file AUDZR created in library LIU.   
                                                         
7、执行STRSQL，然后执行 select * from liu/audzr，筛选ZR的日志条目类型如下。从而加强了对敏感数据的监控情况。


二、利用Audit Journal监控用户(User Profile)的使用情况
1、同样用具备*AUDIT特权的用户登陆AS400，在系统值QAUDCTL中追加*AUDLVL，系统提示： System value QAUDCTL changed from *OBJAUD to *OBJAUD   *AUDLVL.


2、执行 CHGUSRAUD USRPRF(LIU) AUDLVL(*CMD *DELETE *SPLFDTA)，启动系统对用户：LIU进行监控，系统提示：Auditing value changed for user profile LIU.


3、退出OS/400，然后再重新登陆，测试：在OS/400命令行执行些CL命令，或删除个别对象。
然后执行：DSPJRN JRN(QSYS/QAUDJRN)，就可以了解在监控时间内和监控用户有关的行为。


其中：CD - Command string 代表运行CL命令


DO - Delete object 代表删除动作


4、同样可以通过SQL筛选出“CD”（代表运行CL命令）日志条目类型、用户为LIU的执行情况。
===> DSPJRN JRN(QAUDJRN) RCVRNG(*CURCHAIN) ENTTYP(CD) USRPRF(LIU) OUTPUT(*OUTFILE) OUTFILFMT(*TYPE2) OUTFILE(LIU/AUDCD) ，系统提示：Output file AUDCD created in library LIU.   
  

5、执行STRSQL，然后执行 select * from liu/audcd，筛选CD的日志条目类型如下。从而加强了对特定用户的监控情况。

fxf_china

不错,顶一下,楼上辛苦了

cdsd

2点。

一、qingzhou资料很详细，但还没写完整。谁能预先知道要监控什么用户和什么对象？一个轻松的管理员是对全系统做监控。全系统的Audit：（步骤1）在系统值QAUDCTL  中输入*AUDLVL ；（步骤2）在系统值QAUDLVL中输入想要Audit的操作类型。
A change to this system value takes effect immediately for all jobs   running on the system.                    

二、如果以前没有Audit，那么因该检查是否有journal，如果有jounal也可以查了。

qingzhou

AS400常见是设置系统值QAUDCTL为如下审计参数，以前的帖子只是说明一些用法而已。

1. 
   
2. 
   
3.                               Display System Value                              
   
4.                                                                                 
   
5. System value . . . . . :   QAUDCTL                                             
   
6. Description  . . . . . :   Auditing control                                    
   
7.                                                                                 
   
8.                                                                                 
   
9. Auditing                                                                       
   
10. control                                                                        
    
11. *NOQTEMP                                                                       
    
12. *AUDLVL                                                                        
    
13. *OBJAUD   
    

复制代码

当然，有时通过PF关联的journal可以查询到记录被删除，但400有个比较遗憾的地方就是：无法知道删除的具体记录。
这个比较头疼。。。

roden

IMAGES(*BOTH)也不能知道具体的记录?

qingzhou

IMAGES(*BOTH)参数是为了利用JRN进行修改回退,即除了缺省的"After Images"还要包含"Before Images".

[ 本帖最后由 qingzhou 于 2008-12-5 09:48 编辑 ]