Doch, es gibt sie noch, Systeme mit Systemwert QSECURITY = 20. Seit Jahren wird von IBM Sicherheitsstufe 40 empfohlen und neue Systeme auch mit diesem Wert ausgeliefert. Nur werden bei Systemübernahmen oftmals auch Einstellungen wie diese auf den Alt-Stand zurückgesetzt. Das Risiko ist nicht zu unterschätzen. Wie Sie von Sicherheitsstufe 20 über 30 auf 40 wechseln ist Bestandteil dieser Artikelserie.
Doch, es gibt
sie noch, Systeme mit Systemwert QSECURITY = 20. Seit Jahren wird von IBM
Sicherheitsstufe 40 empfohlen und neue Systeme auch mit diesem Wert
ausgeliefert. Nur werden bei Systemübernahmen oftmals auch Einstellungen wie
diese auf den Alt-Stand zurückgesetzt. Das Risiko ist nicht zu unterschätzen.
Wie Sie von Sicherheitsstufe 20 über 30 auf 40 wechseln ist Bestandteil dieser
Artikelserie.
Um die Auditierung einschalten zu können, benötigen Sie die
Sonderberechtigung *AUDIT in Ihrem Benutzerprofil. Um diese Sonderberechtigung
zu bekommen können Sie Ihr Benutzerprofil am Besten
unter Verwendung des QSECOFR-Profils ändern.
Es könnte sein, dass die Auditierung auf Ihrem System bereits von jemand
anders aktiviert wurde. Deshalb rate ich Ihnen, erst mal nachzuschauen ob Audit
bereits aktiv ist. Schauen Sie ob Auditjournal und Journalempfänger existieren.
Dann erstellen Sie falls noch nicht vorhanden die Journalreceiver in einer
Bibliothek Ihrer Wahl indem Sie den Befehl Journalreceiver erstellen
(CRTJRNRCV) arbeiten In diesem Beispiel wird eine Bibliothek namens AUDITLIB
für Journalempfänger verwendet.
- Prüfen
Sie, welche Journale und Journalempfänger auf Ihrem System vorhanden sind:
WRKOBJ
OBJ (* ALL / * ALL) OBJTYPE (* JRN)
WRKOBJ
OBJ (* ALL / * ALL) OBJTYPE (* JRNRCV)
Wenn Sie in Ihrem
Unternehmen Datenbankjournalisierung verwenden,
werden Sie vielleicht überrascht sein, wie viele Journale und Journalempfänger
es auf Ihrem System gibt. Wenn Sie noch überhaupt nicht Journalisieren,
lassen Sie sich nicht von den vielen Standard Datenbankjournalen abschrecken
die das System für sich selbst braucht.
Das Auditjournal gibt
es nur einmal im System mit dem Namen QAUDJRN. Kein anderer Name funktioniert
dafür. Darüber hinaus muss das QAUDJRN Journal in der Bibliothek QSYS stehen. Da ein Journal
eine zentrale Filter- und Kontrollfunktion für die Aufzeichnung von Journaleinträgen
ist, kann und soll QAUDJRN in der Bibliothek QSYS belassen werden.
- Wenn Sie
die Liste der Journale und Journalempfänger zu umfangreich zum durchsuchen finden, können den WRKJRN Befehl
verwenden, um den Status des Auditjournals zu sehen wenn es existiert. Zum
Beispiel können Sie damit sehen, wie viele Empfänger dafür erstellt wurden
WRKJRN QAUDJRN
In den meisten
Fällen, wenn jemand in Ihrer Firma bereits das Audit Journal implementiert hat,
können Sie entweder:
• Die Audit-Journalisierung
durch Setzen des Systemwerts QAUDCTL auf *NONE ausschalten
• Die gefundenen Journalreceiver
löschen
• Mit Punkt 3. unten fortfahren.
oder
• Die Systemwerte QAUDLVL und
QAUDLVL2 prüfen und sicherstellen dass die Werte *PGMFAIL und *AUTFAIL
angegeben wurden.
• Wenn diese Optionen nicht enthalten
sind, fügen Sie sie hinzu
• Wenn diese Werte existieren und die
Einstellungen in Ordnung sind, fahren Sie mit Schritt 6 fort.
- Erstellen
Sie eine Bibliothek für die Audit-Journalisierung.
CRTLIB LIB (AUDITLIB) TEXT ('Bibliothek
für Audit Journal Receiver) AUT (* EXCLUDE)
- Erstellen
Sie die Journalempfänger für die Auditierung. Dieser wird später an das
Journal angehängt
CRTJRNRCV JRNRCV
(AUDITLIB/AUDRCV0001) TEXT ('Journal Receiver für Audit Journalisierung")
AUT (* EXCLUDE)
Da in diesem Szenario
eine neue Bibliothek erstellt wird, stellen Sie sicher, dass die AUDITLIB
Bibliothek und ihre Journalempfänger in Ihre Backup-Routinen mit aufgenommen
werden, so dass Ihre Audit-Daten regelmäßig gesichert werden. Wenn Sie Ihre
Backup-Routinen aus irgendwelchen Gründen nicht ändern können, stellen Sie die
Audit-Journalempfänger in eine Bibliothek die standardmäßig mit gesichert wird
– z.B. QGPL (obwohl das nicht empfehlenswert ist). Stellen Sie die
Journalempfänger nicht in die Bibliothek QSYS.
Wählen Sie einen
Journalempfängernamen, mit dem eine Namenskonvention für zukünftige
Journalempfänger, wie AUDRCV0001 erstellt werden kann. Sie können die *GEN
Option verwenden, wenn Sie Journalempfänger Ändern und die Namenskonvention
fortsetzen. Diese Art der Namensgebung ermöglicht es Ihnen, das System
verwalten zu lassen, wenn Sie Ihre Journalempfänger voll sind.
Geben Sie einen
Schwellwert für die Größe des Empfängers im Treshold-Parameter
ein. Die Größe, die Sie wählen, sollte auf die Anzahl der Transaktionen auf
Ihrem System und die Anzahl der Aktionen, die Sie auswählen angepasst sein.
Wenn Sie die automatische Journalreceiververwaltung
wie empfohlen verwenden, muss die Journalreceiverschwelle
mindestens 100.000 KB sein. Die Standardgröße wie wir oben gewählt haben (durch
Weglassen eines speziellen Wertes) ist dieser Schwellwert standardmäßig
1.500.000 KB. Geben Sie im Parameter AUT *EXCLUDE für die Einschränkung des
Zugriffs auf die Informationen im Journal ein.
- Erstellen
Sie das QSYS / QAUDJRN Journal mit dem Create Journal (CRTJRN)-Befehl.
CRTJRN JRN (QSYS / QAUDJRN) JRNRCV
(JRNLIB/AUDRCV0001) MNGRCV (* SYSTEM) DLTRCV (* NO) AUT (* EXCLUDE) TEXT
('Audit- Journal ")
Obwohl die Audit-Journalisierung eine Systemfunktion ist, wird das QAUDJRN
Journal nicht von IBM zur Verfügung gestellt. Sie müssen es selbst erstellen.
Die Regeln für die die Erstellung des Auditjournals sind wie folgt:
·
Der Name QSYS / QAUDJRN muss verwendet werden.
·
Geben Sie den Namen des Journalempfängers den Sie
vorher erstellt haben an.
·
Geben Sie *EXCLUDE im
AUT-Parameter an, um den Zugang auf die Informationen im Journal
einzuschränken. Sie müssen die Berechtigung haben, um Objekte in die Bibliothek
QSYS hinzufügen, um das Journal zu erstellen.
·
Verwenden Sie den Parameter MNGRCV, damit das System
die Journalempfänger ändern und Neue hinzufügen kann, wenn die angehängten
Empfänger die Schwellwertgröße überschreiten. Wenn Sie diese Option wählen,
müssen Sie den CHGJRN Befehl nicht verwenden, um Empfänger zu lösen und zu
erstellen und neue Empfänger manuell anzuhängen.
·
Lassen Sie das System keine abgehängten Receiver
löschen. Geben Sie DLTRCV (*NO) an, was auch die Standardeinstellung ist. Die
QAUDJRN Empfänger sind Ihre Security Audit Protokolle. Stellen Sie sicher, dass
sie entsprechend gesichert sind, bevor Sie diese löschen.
Einstellen der zusätzlichen Optionen für Auditjournal.
- Stellen
Sie die Audit-Ebene im (QAUDLVL) Systemwert ein. Zunächst werden Sie den
Systemwert QAUDLVL2 nicht brauchen, der ist nur erforderlich wenn der
Systemwert QAUDLVL keinen Platz für weitere Einträge hat. Zum Verwalten
der Prüfungen in den Systemwerte QAUDLVL und QAUDLVL2 verwenden Sie den
Befehl WRKSYSVAL.
Beginnen Sie, indem
Sie Folgendes eingeben:
WRKSYSVAL QAUD*
Drücken Sie die
Eingabetaste Sie sehen nun die verfügbaren Systemwerte im Audit-Bereich:
0008 –
Audit-Systemwerte
Merken Sie sich die
Existenz des Systemwertes QAUDLVL2. Dieser kann später eine Rolle spielen,
nachdem Sie bereits zu Sicherheitsstufe 40 migriert und viele anderen Security
Auditierungs-Funktionen aktiviert haben. Nun rufen Sie mit Auswahl 2 den
Systemwert QAUDLVL zum Ändern auf. Stellen Sie sicher, dass das Auditjournal
auf Ihrem System nicht bereits aktiv ist (sollte in Schritt 1 und 2 passiert
sein) und ergänzen die Auditierungsparameter
*AUTFAIL
*PGMFAIL
Sobald Sie durch
Analyse des Auditjournals festgestellt haben, dass Ihr System auf
Sicherheitsstufe 40 umgestellt werden kann – oder auch nicht – können Sie im
QAUDLVL-Systemwert weitere nützliche Optionen aktivieren. Während Sie mit dem
Systemwert arbeiten, verwenden Sie die F1 Hilfetaste und lassen sich die
Optionen und deren Erklärungen anzeigen. Wenn sie mal Experte auf dem Gebiet
sind, und mehr Funktionen aktivieren als im QAUDLVL Systemwert Platz haben,
können Sie die Liste im Systemwert QAUDLVL2 fortsetzen.
- Schalten
Sie die Auditierung an. Sobald Sie die QAUDLVL Werte festgelegt haben, ist
es an der die Auditierung einzuschalten. Dies erfolgt über den Systemwert
QAUDCTL. Sie starten das Auditjournal indem Sie den QAUDCTL Systemwert auf
einen anderen Wert als *NONE einstellen, nämlich.
* AUDLVL und
* NOQTEMP
Stellen Sie sicher,
dass die zwei Optionen eingegeben wurden. Das ist alles was nötig ist, um den
Test für die Sicherheit der Sicherheitsstufe 40 oder 50 durchzuführen.
Bitte beachten Sie,
dass das QSYS/QAUDJRN Journal existieren muss, bevor Sie den Systemwert QAUTCTL
auf einen anderen Wert als *NONE einstellen. Wenn die Auditierung startet,
versucht das System einen Datensatz in das Auditjournal zu schreiben. Wenn das
nicht erfolgreich ist, erhalten Sie eine Fehlermeldung und die Auditierung
startet nicht. Ebenso müssen Journal und Journalreceiver passend eingestellt
sein.
Sobald Sie die Journalisierung eingeschaltet haben, lassen Sie das System
eine Weile laufen – zumindest so lange, bis die üblichen Geschäftsvorfälle
einmal passiert sind.
Andere Befehle und Optionen bei der Auditierung
Wenn Sie bereit sind ein umfangreiches Audit mitzumachen, können Sie die
folgenden Befehle verwenden um weitere hilfreiche Aufzeichnungen für
Aktivitäten zu starten:
CHGUSRAUD
Dieser Befehl startet die Auditierung für individuelle Anwender
CHGOBJAUD
CHGDLOAUD
Diese beiden Befehle schalten die Objektauditierung
für bestimmte Objekte ein. Der CHGUSRAUD Befehl kann wiederum verwendet werden,
um bestimmte Objekte bei bestimmten Anwendern zu auditieren.
Stellen Sie sicher, dass der Systemwert QAUDENDACN auf *NOTIFY anstelle
*PWRDWNSYS eingestellt ist. *PWRDWNSYS schaltet Ihr System ab wenn die
Auditierung keine Journaldaten wegschreiben kann, *NOTIFY sendet in diesem Fall
eine Nachricht an den QSYSOPR (Systemoperator). *NOTIFY ist die Standardoption
für diesen Systemwert.
Mit dem Systemwert QAUDFRCLVL können Sie steuern, wie oft Audit-Journaleinträge
aus dem Speicher auf die Platte weggeschrieben werden. mit der
Standardeinstellung *SYS wird das vom System gesteuert und die Journaleinträge
werden nur dann auf die Platte geschrieben, wenn das System feststellt, dass
dies abhängig von der internen Systemverarbeitung erforderlich ist. Diese
Angabe liefert zwar die besten Protokollierungsergebnisse kann aber auch zum
höchsten Datenverlust bei einem abnormalen Ende des Systems führen.
Sie können auch einen Wert von 1 bis 100 angeben Der Wert gibt die Anzahl
der ins Sicherheitsprotokolljournal geschriebenen Journaleinträge an, bevor die
Protokollierungsdaten auf die Platte geschrieben werden. Je kleiner diese
Anzahl angegeben wird, umso höher sind die Auswirkungen auf die Systemleistung,
aber die Wahrscheinlichkeit der Erfassung des letzten Fehler auf der Festplatte
im Falle eines Crashs steigt.
Prüfung des Journals
Sobald Sie die Journalisierung eingeschaltet
haben, können die Inhalte anschauen.
Die beste Möglichkeit die Audit-Daten zu analysieren bestehen darin ein für
diese Zwecke spezialisiertes Programm zu erwerben. Diese Programme lesen die
Audit-Journale aus und übertragen sie in je Audittyp
in Klarschrift lesbare Protokolleinträge. Das ist wesentlich einfacher und
effektiver, als für jeden Audittyp ein Programm zu
schreiben, dass die unterschiedlichen Audittypen aus den Journalen ausliest und
für jeden Audityp mit Rücksicht auf die interne
Struktur des jeweiligen Typs die Daten aufbereitet.
Die Verwendung des Befehls DSPAUDJRNE zur Anzeige der Auditjournaleinträge
ist eine rudimentäre Möglichkeit die Daten anzuzeigen. Die Berichte aus diesem
Befehl geben Auskunft über die Eintragstypen und die Benutzerprofile welche die
Ereignisse ausgelöst haben. Sie können die Berichte auf bestimmte Zeiträume
einschränken und einzelne Journalempfänger durchsuchen. Eine Ausgabe auf den
Bildschirm ist ebenso möglich wie die Ausgabe in eine Spooldatei.
Für den Befehl DSPAUDJRNE müssen Sie über die Sonderberechtigungen *ALLOBJ und
*AUDIT verfügen.
Um einen Bericht über alle Berechtigungsfehler für alle Benutzerprofile zu
erzeugen, verwenden Sie den Befehl
DSPAUDJRNE ENTTYP (AF) USRPRF (* ALL) OUTPUT (*)
Natürlich können Sie den Ausgabe-Parameter auf *PRINT ändern, um einen
Bericht zu erzeugen. Dabei können im besten Fall einige Zeilen, im schlechtesten
Fall viele Seiten ausgegeben werden:
0009 – DSPAUDJRNE-Ausgabe am Bildschirm
Beachten Sie die AF-Einträge und das A neben dem Eintrag. Der Typ
"A" ist harmlos. Die wichtigeren AF-Einträge sind die mit B, C, D, J,
R und S. Diese wurden bereits weiter vorne beschrieben. Wenn Sie den Audit-Wert
*NOQTEMP verwenden, werden die Vorgänge in QTEMP nicht auditiert.
Diese QTEMP-Bibliotheken sind ja die temporären Bibliotheken je User und
brauchen hier auch nicht berücksichtigt werden
Denken Sie daran, Ihr Ziel ist es keine der o. g. fehlerhaften Einträge
mehr zu finden. Sobald Sie dies erreicht haben und die zugrunde liegenden
Probleme gelöst haben, können Sie über den Befehl
WRKSYSVAL QSECURITY
Den Wert der Sicherheitsstufe 40 einstellen. Sollten trotzdem nach der
Umstellung Probleme auftreten, können Sie jederzeit wieder zurück zur
Sicherheitsstufe 30 wechseln.
Robert Engel GmbH - Schulstr. 32 - 96472 Rödental
Tel. (+49) 9563/7406-0, e-Mail
