IBM i NetServer:审计对网络共享的更改
IBM i NetServer : auditing changes to network shares
我想审核对 IBM i 网络共享的更改,但是,尽管查看了详细的 QAUDJRN 条目列表 (https://www.ibm.com/support/knowledgecenter/en/ssw_ibm_i_72/rzarl/rzarlsecaudje.htm),并进行了大量谷歌搜索,但我找不到对这些操作的任何参考可审计的。
我觉得这很令人惊讶,所以我怀疑我错过了什么。
有没有人有什么想法,请(乐于使用API等)
对这些共享的更改在 AUDJRN 中记录为代码 T 'Audit trail entry',键入 CD 'Command String'。例如,下面是我通过 Ops Nav 对其中一个所做的更改,它似乎在幕后转换为 CHGAUT 命令。
Display Journal Entry
对象。 . . . . . . : 图书馆 。 . . . . . :
成员 。 . . . . . . :
资料不全。 . :无最小化条目数据:*NONE
顺序 。 . . . . . : 31536911
代码 。 . . . . . . . : T - 审计跟踪条目
类型 。 . . . . . . . : CD - 命令字符串
Entry specific data
列 *...+....1....+....2....+....3....+....4.... +....5
00001 'CCHGAUT QSYS *CMD ECHGAUT OBJ('/翡翠'
00051 '/HALJDE1') USER(*PUBLIC) DTAAUT(*RWX) OBJAUT(*OBJM'
00101'GT *OBJEXIST *OBJALTER *OBJREF)'
期刊。 . . . . . : QAUDJRN 图书馆。 . . . . . : QSYS
顺序。 . . . . . : 31536911
代码 。 . . . . . . . : T - 审计跟踪条目
类型 。 . . . . . . . : CD - 命令字符串
对象。 . . . . . . :
类型 。 . . . . . . :
日期 。 . . . . . . . : 01/05/18
时间 。 . . . . . . . : 17:05:01
旗帜 。 . . . . . . . : 0
Count/RRN。 . . . . : 0
提交周期 ID。 . : 0
嵌套提交级别:0
工作 。 . . . . . . . : 820281/QUSER/QZRCSRVS
用户资料 。 . . . : QSECOFR
忽略 APY/RMV 。 . . : 没有
参考约束。 . . : 没有
期刊。 . . . . . : QAUDJRN 图书馆。 . . . . . : QSYS
顺序。 . . . . . : 31536911
代码 。 . . . . . . . : T - 审计跟踪条目
类型 。 . . . . . . . : CD - 命令字符串
触发器。 . . . . . : 没有
程序 。 . . . . . : QZRCSRVS
图书馆 。 . . . . : QSYS
ASP 设备。 . . . : *SYSBAS
系统序列。 . : 11592946954968838145
线程标识符。 : 0000000000000531
接收者 。 . . . . . : AUDRCV1718
图书馆 。 . . . . : QGPL
ASP 设备。 . . . : *SYSBAS
期刊标识符。 : X'00000000000000000000'
远程地址。 . . : 10.72.49.156
地址家庭。 . . : IPv4
期刊。 . . . . . : QAUDJRN 图书馆。 . . . . . : QSYS
顺序。 . . . . . : 31536911
代码 。 . . . . . . . : T - 审计跟踪条目
类型 。 . . . . . . . : CD - 命令字符串
远程端口。 . . . : 30595
系统名称。 . . . : HAL720P6
臂号。 . . . . : 2
逻辑工作单元:*OMITTED
交易编号。 . . : *省略
注意 此示例来自分区 运行 V7R1.
灰.
今天下午我设法访问了 (V7R3) 测试分区并进行了一些试验。不幸的是,我无法让 Ash 的解决方案发挥作用——无论我做什么,都没有审计日志条目。不过,我确实找到了某种解决方案,即记录 IBM 存储共享列表的 IFS 目录。这似乎工作正常,尽管在应用 PTF 或升级时显然必须关闭并再次打开此日志记录。这是我使用的命令。
STRJRN OBJ(('/QIBM/UserData/OS400/NetServer'))
JRN('/qsys.lib/tools.lib/netserver.jrn') SUBTREE(*ALL)
总而言之,这真的不是 IBM i 最伟大的角落,除非我遗漏了一些重要的东西。
这两者的区别在于系统AUDIT期刊。从 AUDIT 日志开始,确定 AUDIT 日志针对您的特定情况需要捕获的内容。
我想审核对 IBM i 网络共享的更改,但是,尽管查看了详细的 QAUDJRN 条目列表 (https://www.ibm.com/support/knowledgecenter/en/ssw_ibm_i_72/rzarl/rzarlsecaudje.htm),并进行了大量谷歌搜索,但我找不到对这些操作的任何参考可审计的。 我觉得这很令人惊讶,所以我怀疑我错过了什么。 有没有人有什么想法,请(乐于使用API等)
对这些共享的更改在 AUDJRN 中记录为代码 T 'Audit trail entry',键入 CD 'Command String'。例如,下面是我通过 Ops Nav 对其中一个所做的更改,它似乎在幕后转换为 CHGAUT 命令。
Display Journal Entry
对象。 . . . . . . : 图书馆 。 . . . . . :
成员 。 . . . . . . :
资料不全。 . :无最小化条目数据:*NONE
顺序 。 . . . . . : 31536911
代码 。 . . . . . . . : T - 审计跟踪条目
类型 。 . . . . . . . : CD - 命令字符串
Entry specific data
列 *...+....1....+....2....+....3....+....4.... +....5
00001 'CCHGAUT QSYS *CMD ECHGAUT OBJ('/翡翠'
00051 '/HALJDE1') USER(*PUBLIC) DTAAUT(*RWX) OBJAUT(*OBJM'
00101'GT *OBJEXIST *OBJALTER *OBJREF)'
期刊。 . . . . . : QAUDJRN 图书馆。 . . . . . : QSYS
顺序。 . . . . . : 31536911
代码 。 . . . . . . . : T - 审计跟踪条目
类型 。 . . . . . . . : CD - 命令字符串
对象。 . . . . . . :
类型 。 . . . . . . :
日期 。 . . . . . . . : 01/05/18
时间 。 . . . . . . . : 17:05:01
旗帜 。 . . . . . . . : 0
Count/RRN。 . . . . : 0
提交周期 ID。 . : 0
嵌套提交级别:0
工作 。 . . . . . . . : 820281/QUSER/QZRCSRVS
用户资料 。 . . . : QSECOFR
忽略 APY/RMV 。 . . : 没有
参考约束。 . . : 没有
期刊。 . . . . . : QAUDJRN 图书馆。 . . . . . : QSYS
顺序。 . . . . . : 31536911
代码 。 . . . . . . . : T - 审计跟踪条目
类型 。 . . . . . . . : CD - 命令字符串
触发器。 . . . . . : 没有
程序 。 . . . . . : QZRCSRVS
图书馆 。 . . . . : QSYS
ASP 设备。 . . . : *SYSBAS
系统序列。 . : 11592946954968838145
线程标识符。 : 0000000000000531
接收者 。 . . . . . : AUDRCV1718
图书馆 。 . . . . : QGPL
ASP 设备。 . . . : *SYSBAS
期刊标识符。 : X'00000000000000000000'
远程地址。 . . : 10.72.49.156
地址家庭。 . . : IPv4
期刊。 . . . . . : QAUDJRN 图书馆。 . . . . . : QSYS
顺序。 . . . . . : 31536911
代码 。 . . . . . . . : T - 审计跟踪条目
类型 。 . . . . . . . : CD - 命令字符串
远程端口。 . . . : 30595
系统名称。 . . . : HAL720P6
臂号。 . . . . : 2
逻辑工作单元:*OMITTED
交易编号。 . . : *省略
注意 此示例来自分区 运行 V7R1.
灰.
今天下午我设法访问了 (V7R3) 测试分区并进行了一些试验。不幸的是,我无法让 Ash 的解决方案发挥作用——无论我做什么,都没有审计日志条目。不过,我确实找到了某种解决方案,即记录 IBM 存储共享列表的 IFS 目录。这似乎工作正常,尽管在应用 PTF 或升级时显然必须关闭并再次打开此日志记录。这是我使用的命令。
STRJRN OBJ(('/QIBM/UserData/OS400/NetServer'))
JRN('/qsys.lib/tools.lib/netserver.jrn') SUBTREE(*ALL)
总而言之,这真的不是 IBM i 最伟大的角落,除非我遗漏了一些重要的东西。
这两者的区别在于系统AUDIT期刊。从 AUDIT 日志开始,确定 AUDIT 日志针对您的特定情况需要捕获的内容。