主页 » 启用IBM AS400/iSeries日志日志审核

如何启用IBM AS400/iSeries日志日志审核

要分析IBM AS400/iSeries设备的日志日志,您需要在这些系统中启用审计。

要启用AS400/iSeries日记日志审核,您必须:

  1. 创建日志接收方
  2. 将日志接收器连接到日志
  3. 指定要存储在日志接收方中的审核日志.

创建日志接收器并在其中收集指定的日志后,EventLog Analyzer将获取这些日志以用于监视、报表生成和告警通知。

注意: 要在AS 400/iSeries计算机中设置安全审核,您必须具有*AUDIT特殊权限。

创建日志接收方

您可以使用以下命令在您选择的库中创建日志接收方:

CRTJRNRCV JRNRCV(JRNLIB/AUDRCV0001) + THRESHOLD(100000) AUT(*EXCLUDE) + TEXT('Auditing Journal Receiver')

注意:  本例使用一个名为JRNLIB的库作为日志接收器。
  • 将日志接收器放在您选择的任何库中。确保它没有放在Qsys库中,该库是一个系统库。
  • 输入日志接收方的名称。
  • 如果要将命名约定应用于命名所有日志接收方,请使用*GEN选项。
  • 指定适合您的系统大小和活动的适当阈值级别。您选择的大小应该基于系统上的事务数量和您选择审计的操作数量。对于系统更改日志管理支持,阈值必须至少为5000KB。
  • 要限制对日记帐中存储的信息的访问,请在AUT参数上指定*EXCLUDE。

将日志接收器连接到日志

  • 使用以下命令创建Qsys/QAUDJRN日志:

CCRTJRN JRN(QSYS/QAUDJRN)+

JRNRCV(JRNLIB/AUDRCV0001)+

MNGRCV(*SYSTEM) DLTRCV(*NO)+

AUT(*EXCLUDE) TEXT('Auditing Journal')

  • 必须使用日志名称 QSYS/QAUDJRN
注意: 要创建此日志,您必须具有将对象添加到Qsys的权限。
  • 使用JRNRCV参数指定您创建的日志接收方名称。

  • AUT参数上指定*EXCLUDE以限制对存储在日志中的信息的访问。

  • (*SYSTEM)作为 Manage Receiver(MNGRCV)的参数传递 。因此,当附加的日志接收器达到其阈值大小时,系统本身会分离该接收器并创建并附加一个新的日志接收器。

  • 避免使用CHGJRN命令分离接收器并手动创建和附加新接收器。

  • 要保留分离的日志接收器,请将(*NO)指定为DLTRCV的值。这将防止系统自动删除分离的接收器。

  • QAUDJRN接收器是您的安全审计线索。因此,请确保它们被充分归档。

指定要存储在日志接收方中的审核日志

  • 使用以下命令指定要存储在创建的日志接收器中的日志:

CHGSECAUD QAUDCTL(*ALL) QAUDLVL(*ALL)

  • 要为系统上的所有用户指定哪些操作要记录到审计日志中,您需要使用WRKSYSVAL命令将审计级别设置为QAUDLVL系统值。

  • 如果要为特定用户设置操作和对象审计,请使用CHGUSRAUD命令。

  • Y您还可以使用CHGOBJAUDCHGDLOAUD命令根据您的要求为特定对象设置对象审计。

  • 设置QAUDENDACN系统值可帮助您确定系统在无法将条目写入审计日志时的操作。

  • 使用QAUDFRCLVL系统值参数,您可以控制审计记录从内存到辅助存储的传输。

  • 要开始审计,请将QAUDCTL系统值设置为*NONE以外的任何值。

旦完成此安全审计设置,EventLog Analyzer 将自动获取在添加用于监控的 AS400/iSeries 设备的日志接收器中收集的日志。如果 AS400/iSeries 机器未添加到 EventLog Analyzer 服务器,请添加设备以开始收集其日志。

 
Copyright © 2022, ZOHO Corp
ManageEngine