当前位置:首页 >

请教各位:如何查看是谁删除了Library?


请教各位:
[情况]
如果该用户没有退出400,可使用DSPJOBLOG来查看该用户所执行的操作;可如果该用户退出了,就无法再查看他所做操作了。
[问题]
如果该用户执行了删除Library操作,而他又退出了400,那我该通过什么途径去查看呢?
请各位帮我想想办法......

 aeiou 回复于:2004-01-06 13:49:59
这么棘手的问题~~俺也想知道啊~

不知道DSPLOG行不行?俺现在想试一下都试不了,没权限删LIB啊。

 brent_wu 回复于:2004-01-06 14:19:19
AS/400系统不记录每个用户的操作,别试了,没办法。

 brent_wu 回复于:2004-01-06 14:23:25
DSPLOG只能显示传到QHST和QSYSOPR的MESSAGE

 xuguopeng 回复于:2004-01-06 17:08:13
当初听人说查看QPJOBLOG文件可以找到,但是没成功,只能通过修改系统值通过日志监视了,但是好象对性能会有很大影响吧

 居士 回复于:2004-01-06 18:06:01
理论上可以通过 审核 来实现的,在系统参数里可以启用该项,不过我没用过。关注……

 andrewleading_he 回复于:2004-01-06 18:12:28
期待中......

 qingzhou 回复于:2004-01-06 18:48:21
据IBM工程师说可以通过在OS/400上执行以下步骤来实现监控:

1、CRTJRNRCV JRNRCV(QSYS/QAUDRCV01)

2、CRTJRN JRN(QSYS/QAUDCTL) JRNRCV(QSYS/QAUDRCV01)

3、WRKSYSVAL QAUDLVL,*NONE→*DELETE

4、WRKSYSVAL QAUDCTL,*NONE→*AUDLVL

以后就可以通过查看QAUDRCV01日志接收器的内容知道是谁执行了删除操作!

[color=red:43e3a267cb]弊端:日志接收器会变得越来越大,不利于日志管理和系统运作。[/color:43e3a267cb]

还有听说可以通过修改用户Profile里面的参数来起监控作用(CHGUSRPRF),但没试过,不知是否如此;各位有没有别的更好的办法?

 stephenxie2003 回复于:2004-01-07 10:33:33
qingzhou的这种作法有谁试过没有啊?
成功了吗?

 zzzddd 回复于:2004-01-07 10:53:26
通过JRN确实可以实现,我试过的,现在就在这样用!
用了jrn,确实逃不过400的法眼,不过这是牺牲400性能为代价的!

 xuguopeng 回复于:2004-01-07 11:12:08
这种JRN可以做到有选择性的监视么? 还是监视系统所有对象??

 qingzhou 回复于:2004-01-07 11:18:45
只监视DELETE操作(WRKSYSVAL QAUDLVL,*NONE→*DELETE),如果要监控其它操作,需要改为别的参数,具体可查看QAUDLVL帮助。

 xuguopeng 回复于:2004-01-07 11:22:07
我知道,我问的是他所监视的对象是否指定为某个特殊的对象,例如:一个LIB.

启用JRN后,是否需要象数据库日志那样可以有选择性的日志?

 zzzddd 回复于:2004-01-07 11:25:35
他是能针对action做选择,对OBJ好像不能选,看结果的话,和数据库的jrn没什么区别,只是你要知道action的code!

 andrewleading_he 回复于:2004-01-07 11:57:59
有机会试一下!

 stephenxie2003 回复于:2004-01-07 13:43:20
看来IBMer高手也不少啊!

 blogliou 回复于:2004-01-07 14:02:59
起用安全日志是AS/400系统上能够实现目标复制的机理。
但光启用安全日志和修改系统值还不够,还必须要启动OBJECT的AUDITING属性才能够实现对这些目标的删除、修改等的日志记录。我们用DSPOBJD查看目标属性的时候会看到AUDITING的一段属性。启动OBJECT的AUDITING可以用CHGOBJAUD来实现。这也可以实现选择性对变动目标的日志记录。

 xuguopeng 回复于:2004-01-07 14:41:08
楼上的意思是说建立日志以后,他不记录删除信息???必须启动OBJ的AUDIT才行???

 blogliou 回复于:2004-01-07 14:58:26
[quote:a9d66ad8ca="xuguopeng"]楼上的意思是说建立日志以后,他不记录删除信息???必须启动OBJ的AUDIT才行???[/quote:a9d66ad8ca]

是的。

 xuguopeng 回复于:2004-01-07 15:11:17
哦?? 呵呵,那样的话日志应该不能很大的呀!~~

如果我在日志里监控DELETE操作,只要把我想要的LIB启动AUDIT,那样除了删除LIB的信息任何信息都不会记录的,根本就不存在日志疯狂增长的道理呀??

 blogliou 回复于:2004-01-07 15:15:02
[quote:26643aa971="xuguopeng"]哦?? 呵呵,那样的话日志应该不能很大的呀!~~

如果我在日志里监控DELETE操作,只要把我想要的LIB启动AUDIT,那样除了删除LIB的信息任何信息都不会记录的,根本就不存在日志疯狂增长的道理呀??[/quote:26643aa971]

是的。

 blogliou 回复于:2004-01-07 16:00:34
用CHGOBJAUD可以改变OBJECT的AUDITING的值,

Object auditing value  有四个:

*NONE  
*USRPRF
*CHANGE
*ALL

通常OBJECT缺省值是*NONE,即不记AUDITING记录。

另外,下面的关系我还没搞清楚:
1。用户的usrprf指定的*AUDIT特权。
2。CHGOBJAUD命令里Object auditing value的值  *USRPRF
3。用CHGUSRAUD命令来修改具有*AUDIT特权用户的AUDITING.

可能具有*AUDIT特权的用户,其create或delete目标等的操作也会记auditing,并可以用chgusraud来改变一些auditing的值和action。这个方面我没有注意。就是说chgobjaud是针对目标的,只要该目标被指定记录AUDITING(*change or *all),那么不管哪个用户对该目标的操作都会记AUDITING。而chgusraud是针对用户操作的。而OBJECT中Object auditing value的值  *USRPRF大概是表示如果用户具有*AUDIT特权,那么该用户对该目标的操作会记AUDITING,如果某用户没有*AUDIT特权,那么该目标便不会记AUDITING. 从而实现了对用户操作的选择?

 qingzhou 回复于:2004-01-08 16:42:13
用户简要表中包含该用户对哪些对象拥有所有权(Owns)和对哪些对象有权限(Authorized)。可使用命令DSPUSRPRF  USRPRF(XXXXXX) TYPE(*OBJOWN,*OBJAUT)查看上述权限。用户共有八种特殊权限:*ALL;*SECADM;*JOBCTL;*SPLCTL;*SAVSYS;*SERVICE;*AUDIT;*IOSYSCFG。这八种特殊权限的含义分别为:

*ALL 用户能访问任何对象。
*SECADM 用户如对命令CRTUSRPRF和CHGUSRPRF有权限,则可创建和修改用户简要表。
*JOBCTL 用户能控制所有作业;能启动打印机和停止活动的子系统等。
*SPLCTL 用户有控制假脱机文件权限。
*SAVSYS 用户对所有对象有备份,恢复和释放硬盘空间的能力。
*SERVICE 用户有使用命令STRSST的权限。
*AUDIT 用户能改变和执行审计功能的权限。
*IOSYSCFG 用户有改变系统I/O和TCP/IP服务器配置的能力。

在用户简要表中有五种用户级别(User Class):Security Officer(*SECOFR);Security Administrator(*SECADM);Programmer(*PGMR);System Operator(*SYSOPR);User(*USER)。其中*SECOFR有上述全部八种权限,QSECOFR是OS/400内置的最高权限用户;*SECADM只有*SECADM一种特殊权限;*PGMR不含上述任何一种特殊权限;*SYSOPR有*JOBCTL和*SAVSYS二种特殊权限;*USER不含上述任何一种特殊权限。

QSECURITY系统值分为10,20,30,40,50五个等级。其中10表示无任何安全性措施;20表示只要用密码登录OS/400后,系统就无任何安全性措施;30表示用户要用密码登录OS/400并要有相应权限才可访问对象;40在30的基础上,增加了集成安全性,防止对系统的整体完整性进行破坏;50是满足C2级的具有相当严格安全措施的安全等级。一般QSECURITY值设为40。

用户对于对象的权限分为*OBJOPR,*OBJMGT,*OBJEXIST,*OBJALTER,*OBJREF五种,对于对象中的资料的权限分为*READ,*ADD,*UPD,*DLT,*EXECUTE五种。五种对象权限的含义分别为:

*OBJOPR 用户能使用对象,如有资料权限则可查看对象描述。
*OBJMGT 包含 *OBJALTER和 *OBJREF权限加上移动,改名对象,给对象赋安全性权限等。
*OBJEXIST 用户能控制对象的存在和所有权。
*OBJALTER 用户能改变对象的属性,例如给数据库文件加上或去除触发器。
*OBJREF 用户能在数据库的交叉完整性中将对象指定为外部关键词。

OS/400定义了*ALL,*CHANGE,*USE,*EXCLUDE四种权限,它们实际上是对象权限和资料权限的组合:*ALL包括所有的对象和资料权限;*CHANGE包括*OBJOPR对象权限和所有的资料权限;*USE包括*OBJOPR对象权限和*EXECUTE,*READ资料权限;*EXCLUDE不包括任何对象和资料权限,用户可自定义对象和资料权限的组合。

对某个对象,用户被赋予特定的权限后就对该对象拥有私有权限(Private Authority),没有私有权限的其它用户对该对象拥有公有权限(Public Authority)。私有权限存放在该对象中和对该对象有私有权限的用户简要表中,公有权限在对象创建时就只存在于该对象中。

权限列表(Authorization List)包含了一些用户简要表的权限清单,把某一权限列表和某一对象相连后,权限列表中的用户就对该对象拥有在权限列表中的权限了。组简要表(Group Profile)是一种特殊的用户简要表,在组简要表中定义了对一些对象的权限,在用户简要表中可以指明该用户属于哪个组简要表,如果不对同属于一个组简要表的用户再单独赋予权限的话,则这些用户就对这些对象具有相同的权限。一个用户最多可属于16个组简要表,而组简要表不能再属于另一个组简要表。

用户对对象是否有指定权限的搜索顺序为:用户是否有*ALLOBJ权限 -> 用户对对象是否有私有权限 -> 用户是否位于对象的权限列表中 -> 用户所属组是否有*ALLOBJ权限 -> 用户所属组对对象是否有私有权限 -> 用户所属组是否位于对象的权限列表中 -> 用户对对象的公有权限是否够用 -> 对象权限列表中的公有权限是否够用。在上述搜索顺序中,某一环节对对象的权限够用时,搜索就停止。



以上关于OS/400权限方面介绍得很详细了,楼上的朋友理解起来就明白多了......

 qingzhou 回复于:2004-01-08 16:46:52
[quote:7043a3940a="blogliou"]
3。用CHGUSRAUD命令来修改具有*AUDIT特权用户的AUDITING.[/quote:7043a3940a]

你所提到的关于USRPRF的审计功能,我想大概就是实现监控用户操作的另外一种途径.

 qingzhou 回复于:2004-01-09 18:16:33
前几天想出了一个更简便的方法实现该功能,具体做法如下:
我们如果仔细去研究一下SIGNOFF这个命令,会发现它有个LOG(*)参数,系统默认是LOG(*NOLIST),如果我们将该参数改为LOG(*LIST)的话,即使用户执行了SINGOFF操作(退出400),系统也自动会生成一个SPOOL FILE文件对他的操作进行全部记录下来。
哈哈。。。。,真有意思!
既然是这样,那我们就可以采用一条CL命令来简单实现:
CHGCMDDFT CMD(SIGNOFF) NEWDFT(LOG(*LIST)) 
以后,我们要查询时,只需执行WRKSPLF进行查看即可。

 rudy5 回复于:2004-01-27 17:06:02
那系统会将spool file存放到那个spool file下??它会记录写什么信息???谢谢指教!

 kimdai 回复于:2004-01-29 13:45:07
系统会将该用户登陆系统时所作的操作记录并放入其SPOOL FILE中, 内容会包括:
 MSGID      TYPE                    SEV   DATE       TIME       FROM PGM       LIBRARY     INST     TO PGM       LIBRARY      INST  等。
无论用那种方法,定时的清除相关记录文件是明智的选择,因为这些东东会吞食调很多硬盘空间。


最热门文章推荐:
voip市场
免费voip
voip网络
voip组网
腾讯rtx
家庭无线局域网
什么是无线局域网
无线局域网的标准
 ↓相关文章:
© 2006-2008 All Rights Reserved