[size=4]通过启动Auditing Journal来进行安全监控OS/400对象或用户[/size]
制作:ITS qingzhou
时间:2006/06/26
对于安全性要求比较高的AS400用户,比如:银行、保险等金融行业,可以通过启动Auditing Journal来进行安全监控,既可以监控对象(Object)的使用情况,也可以监控用户(User Profile)的行为,从而确保OS/400系统的安全性。以下分两种情况进行举例:
一、利用Audit Journal监控对象(Object)的使用情况
1、首先用具备*AUDIT特权的用户登陆OS/400。
2、通过WRKSYSVAL QAUDCTL—>2=Change将默认参数*NONE改为*OBJAUD,系统提示:System value QAUDCTL changed from *NONE to *OBJAUD.
3、假设我们需要监控LIU/EXECTL这个Object的使用情况,执行:CHGOBJAUD OBJ(LIU/EXECTL) OBJTYPE(*FILE) OBJAUD(*ALL),系统提示:Object auditing value changed for EXECTL in LIU type *FILE. 表示启动监控LIU/EXECTL已经成功。
4、测试,比如我们执行 RUNQRY *N LIU/EXECTL 查询LIU/EXECTL数据库内容;或者通过DFU删除、修改了LIU/EXECTL的记录。
5、执行:DSPJRN JRN(QSYS/QAUDJRN),就可以了解在监控时间内和监控对象有关的行为。
其中:
AD - Change auditing attribute 代表修改审记属性
ZR - Object read access 代表被监控对象被阅读
ZC - Object change access 代表被监控对象被修改
6、以ZR日志条目的类型为例,可以通过SQL筛选出该日志条目类型的所有记录。
执行 DSPJRN JRN(QSYS/QAUDJRN) ENTTYP(ZR) OUTPUT(*OUTFILE) OUTFILFMT(*TYPE2) OUTFILE(LIU/AUDZR) ,系统提示:Output file AUDZR created in library LIU.
7、执行STRSQL,然后执行 select * from liu/audzr,筛选ZR的日志条目类型如下。
从而加强了对敏感数据的监控情况。
qingzhou 回复于:2006-06-26 14:29:43
二、利用Audit Journal监控用户(User Profile)的使用情况
1、同样用具备*AUDIT特权的用户登陆AS400,在系统值QAUDCTL中追加*AUDLVL,系统提示: System value QAUDCTL changed from *OBJAUD to *OBJAUD *AUDLVL.
2、执行 CHGUSRAUD USRPRF(LIU) AUDLVL(*CMD *DELETE *SPLFDTA),启动系统对用户:LIU进行监控,系统提示:Auditing value changed for user profile LIU.
3、退出OS/400,然后再重新登陆,测试:在OS/400命令行执行些CL命令,或删除个别对象。
然后执行:DSPJRN JRN(QSYS/QAUDJRN),就可以了解在监控时间内和监控用户有关的行为。
其中:CD - Command string 代表运行CL命令
DO - Delete object 代表删除动作
4、同样可以通过SQL筛选出“CD”(代表运行CL命令)日志条目类型、用户为LIU的执行情况。
===> DSPJRN JRN(QAUDJRN) RCVRNG(*CURCHAIN) ENTTYP(CD) USRPRF(LIU) OUTPUT(*OUTFILE) OUTFILFMT(*TYPE2) OUTFILE(LIU/AUDCD) ,系统提示:Output file AUDCD created in library LIU.
5、执行STRSQL,然后执行 select * from liu/audcd,筛选CD的日志条目类型如下。
从而加强了对特定用户的监控情况。
xuguopeng 回复于:2006-06-26 15:22:00
不错~ 不过QAUDJRN只能记录操作的动作,而不能记录操作的具体内容,例如对一个PF的数据进行更改,JRN中只能看到这个PF被更改过,但看不到具体更改的数据是什么..
jance 回复于:2006-06-26 15:34:36
轻舟大哥就是厉害!总是能写出相当帅的文字!不断学习中!!受益匪浅啊!
ibmas400 回复于:2006-06-26 15:35:54
谢谢无私教诲~~~ :em02:
blogliou 回复于:2006-06-26 16:44:58
呵呵,安全日志功能是记录目标改动(普通日志是记录数据变动), 记录是目标改动的数据,根据安全日志可以查找对系统目标的改动, 也可以根据安全日志数据做目标的双机备份, 轻舟已经接触到双机热备的核心了.
[ 本帖最后由 blogliou 于 2006-6-26 17:06 编辑 ]
jance 回复于:2006-06-26 17:19:37
现在有个问题就是我如何整理这些日志呢,比如说删除其中一些,我是没有找到清理的方法
xuguopeng 回复于:2006-06-26 17:32:05
只能按照JRNRCV为单位来删除
just a kid 回复于:2006-06-27 10:46:09
又见QINGZHOU,我想刘哥发这种帖子的目的不是为了看到你们问如何怎样的吧,是想把有用点的东西和大家尤其是新人SHARE一下,400圈圈里的甲方乙方们,你们自己问问自己对400系统究竟有什么样程度的需求,我想问题是根据你的需求才会有的,如果一个问题没有答案,其实就是你对系统的要求不强烈。
jance 回复于:2006-06-27 12:04:02
引用:原帖由 just a kid 于 2006-6-27 10:46 发表
又见QINGZHOU,我想刘哥发这种帖子的目的不是为了看到你们问如何怎样的吧,是想把有用点的东西和大家尤其是新人SHARE一下,400圈圈里的甲方乙方们,你们自己问问自己对400系统究竟有什么样程度的需求,我想问题是 ...
??啥意思?没看懂!我一直很支持轻舟大哥的!我是新人,我从轻舟、国鹏、居士三位大哥那里学到了很多很多!谢谢!
希望能继续学到新鲜的知识!
xihii 回复于:2006-06-30 10:28:43
不错.
zhaoming1214 回复于:2006-06-30 10:33:14
收藏了,感谢分享
快乐狗 回复于:2006-06-30 19:25:23
不知道能不能记录谁修改了什么内容
aliceliu 回复于:2006-07-06 17:15:56
轻舟写的比较详细,其实400的安全监控和审计的这些Journal是由以前的备份演变而来的。
另外,想说明一下,如果按照轻舟的方法去产生需要的报表有点麻烦,提供一个400自带的能产生的报表功能的命令:
DSPAUDJRNE+F4
你将会看到很多你想要的东西,如果是做为审计来讲,用这个方面跟来得直接。
对于xuguopeng提出的要实现到每一个针对每个file里面修改了哪些记录进行监控,比如说一个用户使用了STRSQL,但是他用了哪些SQL语句是记录不了的,这是一个安全隐患,特别对于金融等这些行业的数据,人家一个SQL语句就可以把你的银行帐号增加多少位数了,呵呵。
所以对于要监控到对哪些记录做了修改是要用到AS/400的专门安全管理软件才能做得到。
再有:增加了这些监控和审计的参数之后,必定给系统性能带来影响,所以,做之前要充分测试哦。
顺便做一下广告,深圳市深蓝美沣科技推出AS/400安全审计的解决方案的业务,详细请登陆:
http://www.mevm.com/audit.htm
欢迎大家一起交流
zhangyj 回复于:2006-07-10 11:48:45
使用detectIT 软件可以帮周用户来整理这些日志.
edna 回复于:2006-07-13 10:56:22
那是个什么东东?
aliceliu 回复于:2006-07-13 14:34:12
DetectIT是一个集安全管理、安全监控、安全审计的软件。
15楼的大哥,你们公司用这个软件吗,跟您请教一下好吗,您方便联系一些吗?小妹谢谢您了。
IT_specs 回复于:2006-07-26 10:22:53
大哥 。是个好人。。学到很多东西
aiachris2k1 回复于:2006-07-30 00:40:07
请教,如何Audit一个Command的使用?谢谢!
qingzhou 回复于:2006-07-30 09:56:15
引用:原帖由 aiachris2k1 于 2006-7-30 00:40 发表
请教,如何Audit一个Command的使用?谢谢!
iSeries的Object类型包括如下:
AUTL、[u]CMD[/u]、DTAARA、DEVD、FILE、FLR、JOBD、JOBQ、JRN、JRNRCV、LIB、MSGQ、OUTQ、PGM、QRYDFN、SBSD、USRPRF
所以Audit CMD是一样的处理办法。
aliceliu 回复于:2006-07-30 13:16:14
轻舟大哥说的很好,不错。另外,安全方面出来AS/400系统本身自带的这些功能。好多东西还是需要借助AS/400专门的安全软件去实现,如用户密码的管理,对于一些改动比较大的操作的实施监控等这些功能。dectectIT能做到,目前我们公司代理的razlee公司的iSecurity产品,还包括了AS/400防毒、防火墙,安全检查等一些功能。有需要的可以进一步联系小妹。
另外,再重申一些,加了这些审计的参数之后,必定给系统的性能带来较大的影响,首先是硬盘容量要够大哦。
aiachris2k1 回复于:2006-07-30 22:38:20
引用:原帖由 qingzhou 于 2006-7-30 09:56 发表
iSeries的Object类型包括如下:
AUTL、[u]CMD[/u]、DTAARA、DEVD、FILE、FLR、JOBD、JOBQ、JRN、JRNRCV、LIB、MSGQ、OUTQ、PGM、QRYDFN、SBSD、USRPRF
所以Audit CMD是一样的处理办法。
这个设置需要和audit user profile一起使用,记录被审计的user录入的所有命令。我想单独audit一个命令,记录调用过这个命令的所有user。能实现吗?
|
