如何启用IBM AS400/iSeries日志审计

要分析审计IBM AS400/iSeries日志，你首先需要在这些系统中启用审计。

启用AS400/i Series日志审计，你需要

1. 创建一个日志接收器

2. 日志接收器关联到日志

3. 指定存储在日志接收器的审计日志

一旦日志接收器被创建并且指定的日志被收集，EventLog Analyzer将获取监视日志、生成报表和告警通知

创建一个日志接收器

使用下列命令，在选择的库中创建一个日志接收器：

• 你可以将日志接收器放在选择的任意库中，但确保不是放在Qsys库中，因为这是一个系统库器其包含审计日志。

• 为日志接收器选择一个名称，这样该会议也可以为以后的日志接收器使用(eg.AUDRCV0001)。这种类型的命名约定是有用的，当系统管理变化，日志接收器被实施。

• 如果想改变日志接收器继续使用惯例命名，使用*GEN选项

• 指定适合你的系统大小和活动的阀值级别，选择的大小应该根据你的系统交易数目和要审计的动作数目。对于系统改变日志管理支持，阀值最少为5000KB

• 限制访问存储在日志中的信息， 在AUT中指定* EXCLUDE参数

日志接收器关联到日志

使用下列命令，创建QSYS/QAUDJRN日志：

• 日志名称必须使用QSYS/QAUDJRN

• 指定你在JRNRCV参数中创建的日志接收器的名称

• 在AUT中指定*EXCLUDE参数限制访问存储在日志中的信息

• (*SYSTEM)作为管理接收器(MNGRCV)的参数来传递。因此，当连接日志接收器达到阈值的大小时，系统本身分离这个接收器和创建并附加一个新的日志接收器

• 使用CHGJRN命令，将避免自动分离接收器和创建并附加新的接收器

• 要保存分离的日志接收器，应指定DLTRCV参数为 (*NO)。这将防止分离的接收器被系统自动删除

• QAUDJRN接收器是安全审计路径，所以确保它们足够的存档

指定存储在日志接收器的审计日志

使用下列命令，指定存储在日志接收器的审计日志：

• 指定系统中所有用户的哪些操作都被记录到审计日中，你需要使用WRKSYSVAL命令设置审计级别QUDLVL系统的值。

• 使用CHGUSRAUD命令可以设置特定用户的审计动作和对象。

• 使用CHGOBJAUD和CHGDLOAUD命令可以按照自己的要求设置特点对象的对象审计。

• 设置QAUDENDACN系统值，有助于在不能写进审计日志时判断系统的操作。

• 利用QAUDFRCLVL系统参数，可以控制记忆中的审计记录转移到辅助存储

• 设置QAUDCTL系统为任意值而不是*NONE，开始审计

一旦安全审计建立完成后，EventLog Analyzer会自动读取被监视的ASA400/iSeries日志接收器所收集到的日志。如果ASA400/iSeries没有添加到EventLog Analyzer服务器，点击这里添加IBM iSeries (AS/400)主机。