如何启用IBM AS400/iSeries日志日志审核
要分析IBM AS400/iSeries设备的日志日志,您需要在这些系统中启用审计。
要启用AS400/iSeries日记日志审核,您必须:
- 创建日志接收方
- 将日志接收器连接到日志
- 指定要存储在日志接收方中的审核日志.
创建日志接收器并在其中收集指定的日志后,EventLog Analyzer将获取这些日志以用于监视、报表生成和告警通知。
注意: 要在AS 400/iSeries计算机中设置安全审核,您必须具有*AUDIT特殊权限。
创建日志接收方
您可以使用以下命令在您选择的库中创建日志接收方:
CRTJRNRCV JRNRCV(JRNLIB/AUDRCV0001) + THRESHOLD(100000) AUT(*EXCLUDE) + TEXT('Auditing Journal Receiver')
注意: 本例使用一个名为JRNLIB的库作为日志接收器。
- 将日志接收器放在您选择的任何库中。确保它没有放在Qsys库中,该库是一个系统库。
- 输入日志接收方的名称。
- 如果要将命名约定应用于命名所有日志接收方,请使用*GEN选项。
- 指定适合您的系统大小和活动的适当阈值级别。您选择的大小应该基于系统上的事务数量和您选择审计的操作数量。对于系统更改日志管理支持,阈值必须至少为5000KB。
- 要限制对日记帐中存储的信息的访问,请在AUT参数上指定*EXCLUDE。
将日志接收器连接到日志
CCRTJRN JRN(QSYS/QAUDJRN)+
JRNRCV(JRNLIB/AUDRCV0001)+
MNGRCV(*SYSTEM) DLTRCV(*NO)+
AUT(*EXCLUDE) TEXT('Auditing Journal')
注意: 要创建此日志,您必须具有将对象添加到Qsys的权限。
-
使用JRNRCV参数指定您创建的日志接收方名称。
-
在AUT参数上指定*EXCLUDE以限制对存储在日志中的信息的访问。
-
(*SYSTEM)作为 Manage Receiver(MNGRCV)的参数传递 。因此,当附加的日志接收器达到其阈值大小时,系统本身会分离该接收器并创建并附加一个新的日志接收器。
-
避免使用CHGJRN命令分离接收器并手动创建和附加新接收器。
-
要保留分离的日志接收器,请将(*NO)指定为DLTRCV的值。这将防止系统自动删除分离的接收器。
- QAUDJRN接收器是您的安全审计线索。因此,请确保它们被充分归档。
指定要存储在日志接收方中的审核日志
- 使用以下命令指定要存储在创建的日志接收器中的日志:
CHGSECAUD QAUDCTL(*ALL) QAUDLVL(*ALL)
-
要为系统上的所有用户指定哪些操作要记录到审计日志中,您需要使用WRKSYSVAL命令将审计级别设置为QAUDLVL系统值。
-
如果要为特定用户设置操作和对象审计,请使用CHGUSRAUD命令。
-
Y您还可以使用CHGOBJAUD和CHGDLOAUD命令根据您的要求为特定对象设置对象审计。
-
设置QAUDENDACN系统值可帮助您确定系统在无法将条目写入审计日志时的操作。
-
使用QAUDFRCLVL系统值参数,您可以控制审计记录从内存到辅助存储的传输。
- 要开始审计,请将QAUDCTL系统值设置为*NONE以外的任何值。
旦完成此安全审计设置,EventLog Analyzer 将自动获取在添加用于监控的 AS400/iSeries 设备的日志接收器中收集的日志。如果 AS400/iSeries 机器未添加到 EventLog Analyzer 服务器,请添加设备以开始收集其日志。
|
