La commande CHGOBJAUD vous permet de spécifier que l'accès à un objet doit être enregistré dans le journal QAUDJRN.
Les Options CHGOBJAUD OBJAUD
Je rappelle que vous devez indiquer le nom de l’objet et le type d’objet à auditer ; après quoi vous devez sélectionner la valeur OBJAUD :
CHGOBJAUD . . . OBJAUD(*ALL, *CHANGE, *USRPRF, *NONE)
La valeur *NONE indique que l’accès à l’objet n’est pas audité. C’est l’état de tous les objets du système sauf spécification contraire de votre part. Si un objet est audité, vous pouvez désactiver la fonction d’audit le concernant en spécifiant *NONE.
La valeur *CHANGE indique que tout accès à l’objet pour mise à jour doit être audité. L’accès aux fichiers, tel qu’un RPG open pour une opération d’entrée, n’est pas audité. Mais si le fichier est ouvert pour mise à jour, cet accès est audité, parce que c’est une opération open for update. Cela n’indique pas qu’un changement a eu lieu ou que des enregistrements ont été mis à jour, mais seulement que le fichier a été ouvert en mode update.
S’agissant d’autres types d’objets qui sont réglés sur OBJAUD(*CHANGE), si un programme est exécuté, cet accès ne sera pas audité parce que l’exécution d’un programme n’est pas une mise à jour. En revanche, si le programme est changé par la commande CHGPGM, cet accès sera audité parce que c’est une mise à jour.
La valeur *ALL spécifie que tout accès à l’objet doit être audité. Une ouverture du fichier pour entrée ou pour mise à jour est auditée, tout comme les changements apportés au fichier à l’aide de commandes comme CHGPF et ADDPFM.
La valeur OBJAUD *USRPRF spécifie que l’accès à l’objet n’est audité que si l’utilisateur accédant possède une valeur d’audit utilisateur *ALL ou *CHANGE. Pour cela, vous devez utiliser la commande Change User Audit (CHGUSRAUD) et régler la valeur OBJAUD de l’utilisateur sur *ALL ou *CHANGE. Pour moi, l’option *USRPRF est très discutable et je vous la déconseille.
L’annexe E, « Object Operations and Auditing, » du manuel de référence sécurité de l’IBM iSeries (iSeries Security Reference, SC41-5302-09 publib.boulder.ibm.com/infocenter/iseries/v5r4/topic/books/sc415302.pdf) contient les opérations auditées pour tous les types d’objets différents et indique lesquelles sont considérées comme change (ZC) et lesquelles sont considérées comme read-only (ZR).
Certaines opérations sur les fichiers ne sont pas auditées. Ainsi, l’usage de commandes d’affichage courantes telles que Display File Description (DSPFD), Display File Field Description (DSPFFD), et Display Object Description (DSPOBJD) ne génère pas une entrée d’audit. Vous pouvez utiliser la commande DSPOBJD pour voir l’état d’audit courant d’un objet.
Téléchargez cette ressource
Percer le brouillard des rançongiciels
Explorez les méandres d’une investigation de ransomware, avec les experts de Palo Alto Networks et Unit 42 pour faire la lumière dans la nébuleuse des rançongiciels. Plongez au cœur de l’enquête pour comprendre les méthodes, les outils et les tactiques utilisés par les acteurs de la menace. Découvrez comment prévenir les attaques, les contrer et minimiser leur impact. Des enseignements indispensables aux équipes cyber.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Les PME attendent un meilleur accès aux données d’émissions de la part des fournisseurs
- Fraude & IA : Dr Jekyll vs. Mr Hyde, qui l’emporte ?
- Gestion du cycle de vie des outils de cyberdéfense : un levier de performance pour les entreprises
- Top 6 du Cyber Benchmark Wavestone 2025
- La voix met le clavier au placard : une mutation incontournable pour les entreprises
