2011.03.23
 

QSYSとIFSでのオブジェクト監査

System i には優れた組み込み監査機能があります。さまざまなタイプの重要イベントを監査できます。オブジェクト・アクセスを監査できます。そして、IFS 「オブジェクト」へのアクセスを監査できます。私はQSYS オブジェクトにかなり激しくオブジェクト監査機能を使用したことがあります。しかし、先日困り果てて、自問しました。「IFS の新規作成ファイルやディレクトリーに監査機能を起動するにはどうしたらいいのか」と。これを行う方法があることは知っていましたが、すぐに頭に思い浮かばなかったのです。Web を調べて、かなりのテストを行ってから、今ではその疑問の答えは見つかりました。

システム値 QCRTOBJAUD は、新規作成オブジェクトに指定された監査レベルのグローバル・デフォルト値を指定します。出荷時の値は *NONE で、新規作成オブジェクトはグローバルまたはシステム・レベルで監査されない設定になっています。以下のように CRTLIB (ライブラリーの作成) および CHGLIB (ライブラリーの変更) コマンドの CRTOBJAUD パラメーターを指定して、ライブラリー・レベルで QCRTOBJAUD システム値をオーバーライドできます。

CHGLIB LIB(MYLIB) CRTOBJAUD(*CHANGE)

ライブラリーが作成されると、CRTLIB の CRTOBJAUD パラメーターのデフォルト値は *SYSVAL になりますが、必要に応じて *ALL、*CHANGE、*USRPRF、*NONE、または *SYSVAL に設定できます。

CRTLIB LIB(MYLIB) … CRTOBJAUD(*CHANGE)

したがって、新しいオブジェクトを MYLIB で作成するたびに、オブジェクトの OBJAUD 値が自動的に *CHANGE に設定されます。

IFS /root ファイル・システムを使用して、さまざまなタイプのファイル、ディレクトリー、フォルダー、および文書を保存します。機密データもしばしばそこに保存されます。いくつか例を挙げると、Excel スプレッドシート、文書イメージ、PDF ファイル、PC アプリケーション・オブジェクトがあります。

QSYS ファイル・システムがグローバル設定になっていることに加えて、システム値 QCRTOBJAUD も IFS ディレクトリーに適用されたグローバル設定になっています。すべての新規作成 IFS「オブジェクト」に監査機能を起動する場合は、必要に応じてシステム値 QCRTOBJAUD を *ALL、*CHANGE、または *USRPRF に設定します。IFS 内では、このグローバル設定は、以下に示すように CHGATR (属性の変更) コマンドを使用して、ディレクトリー・レベルでオーバーライドできます。

CHGATR OBJ('home/myuser') ATR(*CRTOBJAUD) VALUE(*CHANGE)

*CRTOBJAUD 監査属性もサブディレクトリーに適用する場合は、CHGATR コマンドの SUBTREE(*ALL) オプションを組み込みます。

したがって、IFS で新規作成オブジェクトの監査を管理するカギは、CHGATR コマンドです。*CRTOBJAUD 属性およびディレクトリー、また任意に関連するサブディレクトリーの対応する値を指定します。

最後に、このトピックについて調べていたとき、IBM Web サイトの IBM 技術情報では全く違っていました。それは、ルート・ディレクトリーの CRTOBJAUD 値を変更することで、すべての新規作成 IFS「オブジェクト」の監査を開始できると、私に言わせたいようでしたが、しかし、テストした限りではその方法はうまくいきません。ディレクトリーやサブディレクトリーではなく、ルート自体の新規作成オブジェクトの監査を開始するだけです。

ページトップ

ボタン