De kans dat u in het verleden het QSECOFR-wachtwoord aan een externe heeft gegeven om software op uw systeem te installeren is groot. Dat zal op basis van goed vertrouwen zijn gedaan en in sommige gevallen zult u hebben meegekeken wat er gedaan werd op het systeem. Zou het niet eenvoudiger zijn als er een log wordt bijgehouden met daarin de uitgevoerde programma’s?

door Rudi van Helvoirt
rvanhelvoirt@vanhelvoirt.nl

Door gebruik te maken van Auditing en het gebruikerprofiel aan te passen is dat mogelijk. Gemakshalve ga ik er vanuit dat u uw Auditing al actief heeft, dus hieronder vindt u alleen de acties die u moet uitvoeren om het logging van commando’s van een gebruiker te activeren. U begint met het aanpassen van het, in dit voorbeeld, gebruikerprofiel QSECOFR met het commando: CHGUSRAUD USRPRF(QSECOFR) AUDLVL(*CMD). In de helptekst van dit commando staat dat deze wijziging pas actief wordt bij de volgende start van een taak voor deze gebruiker. Dus als u het direct wilt testen: even opnieuw aanmelden.

Commando
Vervolgens kunt u nadat u enkele commando’s heeft gegeven met behulp van het commando CPYAUDJRNE ENTTYP(CD) een bestand aanmaken in QTEMP of indien u dat wenst een andere bibliotheek, dat bestand vervolgens gebruiken en er een query op loslaten. Laat u de standaardwaarde staan, dan krijgt dit bestand de prefix QAUDIT met daaraan gekoppeld de waarde CD die overgenomen wordt van de audit journal entry. Start u vervolgens SQL met het commando STRSQL, dan kunt u met het volgende SQL-commando achterhalen welke commando’s zijn uitgevoerd: SELECT CDJOB, CDUSER, CDNBR, CDUSPF, CDCMDS , CDRADR FROM QTEMP/QAUDITCD. U zult al snel tot de conclusie komen dat er onder de motorkap meer commando’s worden uitgevoerd dan degene die ingegeven worden, maar wel heeft u op deze manier de mogelijkheid om te controleren wat er op uw systeem wordt uitgevoerd. Dat is in mijn ogen in zowel uw belang als in het belang van de externe partij.

Meer informatie:

Redbook: http://tinyurl.com/d7v9vr