Les Options CHGOBJAUD OBJAUD

Je rappelle que vous devez indiquer le nom de l’objet et le type d’objet à auditer ; après quoi vous devez sélectionner la valeur OBJAUD :

CHGOBJAUD . . . OBJAUD(*ALL, *CHANGE, *USRPRF, *NONE)

La valeur *NONE indique que l’accès à l’objet n’est pas audité. C’est l’état de tous les objets du système sauf spécification contraire de votre part. Si un objet est audité, vous pouvez désactiver la fonction d’audit le concernant en spécifiant *NONE.

La valeur *CHANGE indique que tout accès à l’objet pour mise à jour doit être audité. L’accès aux fichiers, tel qu’un RPG open pour une opération d’entrée, n’est pas audité. Mais si le fichier est ouvert pour mise à jour, cet accès est audité, parce que c’est une opération open for update. Cela n’indique pas qu’un changement a eu lieu ou que des enregistrements ont été mis à jour, mais seulement que le fichier a été ouvert en mode update.

S’agissant d’autres types d’objets qui sont réglés sur OBJAUD(*CHANGE), si un programme est exécuté, cet accès ne sera pas audité parce que l’exécution d’un programme n’est pas une mise à jour. En revanche, si le programme est changé par la commande CHGPGM, cet accès sera audité parce que c’est une mise à jour.

La valeur *ALL spécifie que tout accès à l’objet doit être audité. Une ouverture du fichier pour entrée ou pour mise à jour est auditée, tout comme les changements apportés au fichier à l’aide de commandes comme CHGPF et ADDPFM.

La valeur OBJAUD *USRPRF spécifie que l’accès à l’objet n’est audité que si l’utilisateur accédant possède une valeur d’audit utilisateur *ALL ou *CHANGE. Pour cela, vous devez utiliser la commande Change User Audit (CHGUSRAUD) et régler la valeur OBJAUD de l’utilisateur sur *ALL ou *CHANGE. Pour moi, l’option *USRPRF est très discutable et je vous la déconseille.

L’annexe E, « Object Operations and Auditing, » du manuel de référence sécurité de l’IBM iSeries (iSeries Security Reference, SC41-5302-09 publib.boulder.ibm.com/infocenter/iseries/v5r4/topic/books/sc415302.pdf) contient les opérations auditées pour tous les types d’objets différents et indique lesquelles sont considérées comme change (ZC) et lesquelles sont considérées comme read-only (ZR).

Certaines opérations sur les fichiers ne sont pas auditées. Ainsi, l’usage de commandes d’affichage courantes telles que Display File Description (DSPFD), Display File Field Description (DSPFFD), et Display Object Description (DSPOBJD) ne génère pas une entrée d’audit. Vous pouvez utiliser la commande DSPOBJD pour voir l’état d’audit courant d’un objet.