主页 » 获取日志数据 » 如何启用IBM AS400/iSeries日志审计

如何启用IBM AS400/iSeries日志审计


要分析审计IBM AS400/iSeries日志,你首先需要在这些系统中启用审计。

启用AS400/i Series日志审计,你需要

  1. 创建一个日志接收器

  2. 日志接收器关联到日志

  3. 指定存储在日志接收器的审计日志

一旦日志接收器被创建并且指定的日志被收集,EventLog Analyzer将获取监视日志、生成报表和告警通知

注意:对于设置AS400/iSeries机器的安全审计,你必须拥有*AUDIT特殊权限

 

创建一个日志接收器


使用下列命令,在选择的库中创建一个日志接收器:

CRTJRNRCV  JRNRCV(JRNLIB/AUDRCV0001) +           

THRESHOLD(100000) AUT(*EXCLUDE)   +           

TEXT('Auditing Journal Receiver')

 

注意: 事例使用的是JRNLIB库创建日志接收器
  • 你可以将日志接收器放在选择的任意库中,但确保不是放在Qsys库中,因为这是一个系统库器其包含审计日志。

  • 为日志接收器选择一个名称,这样该会议也可以为以后的日志接收器使用(eg.AUDRCV0001)。这种类型的命名约定是有用的,当系统管理变化,日志接收器被实施。

  • 如果想改变日志接收器继续使用惯例命名,使用*GEN选项

  • 指定适合你的系统大小和活动的阀值级别,选择的大小应该根据你的系统交易数目和要审计的动作数目。对于系统改变日志管理支持,阀值最少为5000KB

  • 限制访问存储在日志中的信息, 在AUT中指定* EXCLUDE参数

日志接收器关联到日志


使用下列命令,创建QSYS/QAUDJRN日志:

CRTJRN JRN(QSYS/QAUDJRN)+          

JRNRCV(JRNLIB/AUDRCV0001)+

MNGRCV(*SYSTEM)DLTRCV(*NO)+       

AUT(*EXCLUDE)    TEXT('Auditing Journal)
  • 日志名称必须使用QSYS/QAUDJRN
注意: 创建这个日志你必须拥有添加对象到QSYS的权限
  • 指定你在JRNRCV参数中创建的日志接收器的名称

  • AUT中指定*EXCLUDE参数限制访问存储在日志中的信息

  • (*SYSTEM)作为管理接收器(MNGRCV)的参数来传递。因此,当连接日志接收器达到阈值的大小时,系统本身分离这个接收器和创建并附加一个新的日志接收器

  • 使用CHGJRN命令,将避免自动分离接收器和创建并附加新的接收器

  • 要保存分离的日志接收器,应指定DLTRCV参数为 (*NO)。这将防止分离的接收器被系统自动删除

  • QAUDJRN接收器是安全审计路径,所以确保它们足够的存档

指定存储在日志接收器的审计日志

使用下列命令,指定存储在日志接收器的审计日志:

CHGSECAUD QAUDCTL(*ALL) QAUDLVL(*ALL)



  • 指定系统中所有用户的哪些操作都被记录到审计日中,你需要使用WRKSYSVAL命令设置审计级别QUDLVL系统的值。

  • 使用CHGUSRAUD命令可以设置特定用户的审计动作和对象。

  • 使用CHGOBJAUDCHGDLOAUD命令可以按照自己的要求设置特点对象的对象审计。

  • 设置QAUDENDACN系统值,有助于在不能写进审计日志时判断系统的操作。

  • 利用QAUDFRCLVL系统参数,可以控制记忆中的审计记录转移到辅助存储

  • 设置QAUDCTL系统为任意值而不是*NONE,开始审计

一旦安全审计建立完成后,EventLog Analyzer会自动读取被监视的ASA400/iSeries日志接收器所收集到的日志。如果ASA400/iSeries没有添加到EventLog Analyzer服务器,点击这里添加IBM iSeries (AS/400)主机。

 
 
Copyright © 2016, ZOHO Corp。版权所有。
ManageEngine