Lea en AS/400 System i . . .

Aprovechando las posibilidades del WRKACTJOB a través de sus parámetros

Obtenga una salida diferente de la habitual al ejecutar el comando WRKACTJOB, aprovechando lo ofrecido por algunos parámetros interesantes que posibilitan entre otras acciones la de renovar automáticamente la pantalla resultante.

FaceBookTwitterGoogle+

Auditoría sobre objetos en AS/400

Conozca las herramientas para registrar y auditar la actividad sobre objetos en el sistema AS/400.

Las funciones de auditoría en OS/400 incluyen la posibilidad de registrar las operaciones que se realizan sobre un determinado objeto. A través de esta herramienta es posible seleccionar un objeto e indicar que se anote cada vez que cualquier usuario  lo modifica o simplemente  lo consulta o lo  lee. La anotación producida incluye no sólo el tipo de operación realizada sino también qué  usuario la efectuó, la fecha, la hora y el trabajo involucrado.  También existe la posibilidad de registrar las tareas realizadas sobre el objeto auditado, dependiendo de quién es el autor de la operación. Todas estas funciones de auditoría se materializan activando y parametrizando adecuadamente el Journal de Seguridad.

Auditoría en AS400

OS/400 realiza una amplia gama de anotaciones o registros de las distintas actividades que se llevan a cabo en el sistema. Las anotaciones de trabajo (job log), como también las anotaciones históricas del sistema (history log) comprenden parte de las herramientas disponibles y son aquellos tipos de registros que el sistema operativo efectúa por omisión, sin solicitar al usuario interviniente ningún tipo de parametrización. A éstos se le suman los registros específicos implementados a través de “diarios” (journals): base de datos, seguridad, comunicaciones, accounting que deben ser activados voluntariamente mediante objetos *JRN y *JRNRCV.

Desde las primeras versiones del OS/400 se incluyó entre sus capacidades de registración al Audit Journal o Journal de auditoría. Esta herramienta es capaz de registrar todo evento relacionado con la seguridad con un nivel de detalle muy completo, y que se fue enriqueciendo con sucesivas versiones de OS/400. Creaciones y supresiones de objetos, ABM´s de perfiles de usuarios, errores en inicios de sesión, invocaciones a programas que adoptan  la autorizacion de su propietario, son solamente algunas de las posibilidades de auditoría disponibles en  AS/400. Las opciones de auditoría ofrecidas por el sistema operativo, permiten efectuar interesantes combinaciones trabajando en tres niveles diferentes (no excluyentes) que varían en la amplitud de la jornalización a arrancar:

  • Auditoría del sistema registrando todo lo que ocurre para todos los usuarios.
  • Auditoría sobre las tareas realizadas por un determinado usuario.
  • Auditoría sobre las acciones que se realizan sobre objetos específicos.

Este último es el que desarrollaremos en este “tip”.

Activación de la auditoría en AS/400

Independientemente de cual de los tres casos anteriores se seleccione, deben tenerse en cuenta dos consideraciones:

  • Todos los eventos relacionados con la seguridad se anotan a través de una pareja de objetos: el diario (objeto de tipo *JRN) y el receptor de diario conectado (objeto de tipo *JRNRCV). Por lo tanto es necesario crearlos.
  • La jornalización es de uso opcional,  no viene activa por default. Es necesario cumplir ciertos pasos sencillos para que la activación sea exitosa.

Los pasos a llevar a cabo son los siguientes:

  1. Crear un receptor de diario (objeto tipo *JRNRCV) en una biblioteca determinada (comando CRTJRNRCV). Este objeto es el que contendrá todas las anotaciones relacionadas con la seguridad.
  2. Crear un diario (objeto tipo *JRN) con nombre QAUDJRN en la biblioteca QSYS (comando CRTJRN) y asociarlo al receptor de diario creado en el paso anterior.
  3. Este paso es el que define, según lo almacenado en los valores del sistema, cuál es el tipo de auditoría a realizar. Para activar la auditoría sobre objetos, QAUDCTL debe establecerse en *OBJAUD y seleccionar con CHGOBJAUD cuáles son los objetos a auditar. No es necesario modificar el valor del sistema QAUDLVL para activar exclusivamente la auditoría de objetos.

Auditoría sobre objetos:  Cómo seleccionar los objetos a auditar

El mandato CHGOBJAUD permite indicarle a OS/400 cuáles objetos, de todos los existentes en el sistema, se  desea auditar. La siguiente pantalla muestra el prompt del comando:

AS400-auditoria-objetos-1

Los dos primeros parámetros: Objeto y Tipo de objeto son los que permiten identificar el objeto a auditar. El tercer parámetro Valor de auditoría de objeto (palabra clave OBJAUD) especifica qué tipo de operaciones efectuadas sobre el objeto deben quedar registradas en el journal de seguridad. Puede tomar los siguientes valores:

  • *NONE: utilización o cambio del objeto no produce entrada relacionada con la seguridad.
  • *USRPRF: analiza en el perfil de usuario que hace el acceso si la operación efectuada debe quedar registrada. En este caso, el mandato CHGUSRAUD permite establecer, a través del parámetro Valor de auditoría de objeto (palabra clave OBJAUD), un valor de auditoría diferente para este usuario cuando accede al objeto en cuestión.
  • *CHANGE: cambio del objeto realizado por cualquier usuario queda registrado.
  • *ALL: cambio o lectura del objeto realizado por cualquier usuario queda registrado.

El siguiente esquema muestra la relación entre los parámetros involucrados:

 

AS400-auditoria-objetos-cuadro

El uso de los parámetros Valor de auditoría de CHGOBJAUD y también de CHGUSRAUD permiten generar combinaciones donde existan objetos para los cuales cualquier acción realizada por cualquier usuario quede registrada (ver recuadro rojo), como así también anotar sólo las operaciones sobre ese objeto que un determinado usuario realiza (ver recuadros verdes).

El atributo Valor de auditoría de objeto, como se explica en los párrafos anteriores, se puede modificar con CHGOBJAUD, pero también es posible que los objetos se generen con ese atributo establecido en un determinado valor. El parámetro Crear auditoría de objeto (palabra clave CRTOBJAUD) del mandato CRTLIB, permite establecer qué Valor de auditoría de objeto se necesita para los objetos que se generen dentro de la biblioteca. Si este atributo de la biblioteca fue establecido en un valor distinto de *NONE, cada objeto creado dentro de ella será auditado (siempre que se hayan respetado los pasos de activación y sin necesidad de utilizar CHGOBJAUD).

El valor de sistema QCRTOBJAUD permite seleccionar qué valor debe tener por default el parámetro Crear auditoría de objetos del mandato CRTLIB.

Visualización y análisis de las entradas de auditoría generadas

Para visualizar las entradas de auditoría generadas una de las opciones disponibles es el comando DSPJRN QAUDJRN. La siguiente pantalla aparece:

AS400-auditoria-objetos-2

Las entradas 1 y 2 están relacionadas con el arranque de la jornalización.

La entrada con número de secuencia 3, de tipo SV (Cambio a valor de sistema), documenta la modificación del valor del sistema QAUDCTL al nuevo valor *OBJAUD. Si se visualiza la entrada con opción 5 aparece lo siguiente:

AS400-auditoria-objetos-3

La entrada con número de secuencia 4, de tipo AD (Cambiar atributo de auditoría), registra la ejecución del mandato CHGOBJAUD. La opción 5 permite conocer de que objeto se trata y cuales operaciones sobre dicho objeto se registrarán:

AS400-auditoria-objetos-4

La entrada con número de secuencia 6, de tipo ZR (acceso lectura objeto), documenta que se realizó una operación de lectura sobre el archivo:

AS400-auditoria-objetos-6

De la misma manera, las entradas con número de secuencia 7 y 8 registran operaciones de cambio efectuadas sobre el objeto auditado.


En cualquiera de las visualizaciones de entradas mostradas anteriormente puede utilizarse la tecla de función F10=Visualizar sólo detalles de entrada para conocer fecha, hora y usuario que realizó la operación, desde cuál trabajo y también desde qué programa. La siguiente pantalla muestra el resultado:

 

AS400-auditoria-objetos-7

Es importante tener en claro que la auditoría de objetos abarca la registración de las operaciones efectuadas sobre él, por ejemplo,  el usuario XXX leyó el objeto o el usuario YYY modificó el objeto. El valor anterior de un atributo alterado del objeto y el valor que posteriormente quedó no son registrados por la auditoría de objetos. En el caso particular de los archivo físicos de datos el valor anterior y posterior a una modificación puede registrarse si el archivo está siendo jornalizado a través de la jornalización de archivos de base de datos. Para este caso, el arranque de la jornalización debe hacerse con el comando STRJRNPF luego de haber creado un receptor de diario y un diario.

Para tener en cuenta...

  • A pesar de que OS/400 no solicita ningún tipo de parametrización con respecto a las anotaciones de la job log, existen posibilidades de controlar el nivel de detalle de la información registrada, como también la acción a tomar por el sistema con todo aquello que anotó cuando el trabajo finaliza (parámetro LOG en la descripción de trabajo utilizada por el job).
  • Otra alternativa sencilla para arrancar la jornalización de seguridad es hacerlo desde Operations Navigator de Client Access Express. Iniciar una conexión, desde el item Base de datos se puede crear el diario y el receptor de diario. Desde Seguridad y luego Políticas de auditoría se selecciona a través de check boxes las opciones necesarias.
  • Desde pantalla verde, puede activarse o desactivarse y también visualizarse el estado de la auditoría desde los mandatos CHGSECAUD (opción 10 del menú SECTOOLS) y DSPSECAUD (opción 11 del menú  SECTOOLS) respectivamente. El comando CHGSECAUD permite arrancar la auditoría con valores *ALL (todas las posibilidades) o *DFTSET (*AUTFAIL, *CREATE, *DELETE, *SECURITY y  *SAVRST). También se encarga de crear el diario QAUDJRN en QSYS y el receptor de diario con nombre AUDRCV0001 en QGPL.
  • El mandato DSPJRN  posee el parámetro “Salida”  (palabra clave OUTPUT)  para seleccionar la forma de visualización. La opción *OUTFILE permite generar un archivo, objeto de tipo *FILE PF-DTA, con las entradas del diario QAUDJRN convertidas en registros. Este archivo podrá luego ser consultado desde QUERY/400, SQL/400 o un programa HLL.
  • Una forma amigable de visualizar las anotaciones de auditoría es a través de la opción 22 (Entradas de diario de auditoría) del menú SECTOOLS. El mandato ejecutado es DSPAUDJRNE e invoca a una batería de queries ya creados según el tipo de entrada seleccionada.
  • Independientemente del tipo de auditoría establecida, es muy probable que se generen gran cantidad de anotaciones. Es importante establecer el valor del umbral para los receptores de diario (en el comando CRTJRNRCV),  como también determinar si la creación de los nuevos receptores será tarea del sistema o del usuario (parámetro Gestionar receptores, palabra clave MNGRCV del comando CRTJRN).  El default de este parámetro en pantalla verde es “*USER”, pero en Operations Navigator es “*SYSTEM”.
  • Si se desea realizar auditoría del sistema registrando todo lo que ocurre para todos los usuarios, QAUDCTL debe establecerse en *AUDLVL y en QAUDLVL seleccionar la actividad a registrar. Esto no inhabilita de ninguna manera la auditoría sobre objetos o sobre un determinado usuario.

Copyright Teknoda S.A.

IMPORTANTE:
“Notas técnicas de AS/400" se envía con frecuencia variable y sin cargo como servicio a nuestros clientes AS/400. Contiene notas/tutoriales/artículos técnicos desarrollados en forma totalmente objetiva e independiente. Teknoda es una organización de servicios de tecnología informática y NO comercializa hardware, software ni otros productos.
Si desea suscribir otra dirección de e-mail para que comience a recibir las Notas Técnicas AS400, envíe un mensaje desde esa direcciónletter400@teknoda.com, aclarando nombre, empresa, cargo y país del suscriptor.

AS400 , iSeries y System i son marcas registradas de IBM. IBM no es el editor de esta publicación y no es responsable de la misma en ningún aspecto. La información contenida en esta publicación ha sido generada por nuestros especialistas a partir de fuentes consideradas confiables y del ejercicio profesional cotidiano. No obstante, por la posibilidad de error humano, mecánico, cambio de versión u otro, Teknoda no garantiza la exactitud o completud de la misma.
COPYRIGHT TEKNODA S.A. PROHIBIDA SU REPRODUCCION TOTAL O PARCIAL SIN CONSENTIMIENTO DE TEKNODA


 

Escribir un comentario


Código de seguridad
Refescar

Suscribirse a Teknodatips


Recibirá un mail cada vez que se publique un nuevo tip. Seleccionar AL MENOS un casillero:
  • AS/400 Tips
  • SAP/ABAP Tips



Joomla Extensions powered by Joobi

Lea en AS/400 Tips . . .

Infografía comparativa Comandos de SAVE RESTORE del AS400

save_restore_thumbnail

Conozca y diferencie visualmente qué partes del almacenamiento resguarda y restaura cada comando y cada opción del Menú Salvar y Restaurar. PUEDE DESCARGAR UN FORMATO POSTER PARA IMPRESION.

Para lograr un entendimiento conceptual es de suma utilidad contar con una ayuda gráfica, que  permita diferenciarlos a primera vista. Nuestro equipo de especialistas ha desarrollado el "Infographics" que presentamos con este tip. Por supuesto, el mismo debe complementarse con la información detallada de los innumerables parámetros de cada comando, pero es un útil marco de referencia  para recordar el área de injerencia de cada comando.

LEER ESTE ARTICULO >>>>>

 

 

 

Copyright © 2017 Teknoda tips - Tecnologia SAP Netweaver - IBM AS400 - System i - iSeries. Todos los derechos reservados.