Il semble bien qu’un petit nombre de fichiers du modèle actuel ont échappé à la vigilance de l’équipe d’IBM chargée de la conception.
ANZAUDJRN, Tenir les deux bouts de la corde
Mais j’ai tenu compte des quelques exceptions rencontrées. Une fois que cette collection de données d’entrée du journal est effectuée, je possède l’information nécessaire pour contrôler l’invite de commande ANZAUDJRN, la validation des paramètres et la sélection d’entrée :
- Les types d’entrées du journal valides sont affichés comme texte de choix de paramètre du type d’entrée du journal et la liste d’invites F4, cette dernière incluant le texte descriptif du type d’entrée, et le tout effectué par le programme de choix CBX607C. La figure 6 affiche la manière dont la liste d’invites F4 se présente sur un système IBM i 5.4.
- La liste du type d’entrée de journal est employée dans le programme de contrôle de validité CBX607V pour effectuer la validation du type d’entrée spécifié.
- Le programme de contrôle d’invite CBX607P s’assure que les paramètres nom d’objet, bibliothèque et type ne s’affichent sur l’invite de commande que si le type d’entrée choisi contient l’information d’objet.
- Le paramètre nom de chemin d’accès IFS est seulement affiché sur l’invite de commande si le type d’entrée choisi contient un nom de chemin d’accès d’objet IFS ; là encore, géré par le programme de contrôle d’invite CBX607P.
- Le nom d’objet, la bibliothèque et le type, ainsi que le nom de chemin d’accès d’objet IFS sont trouvés en utilisant les valeurs offset du champ format d’enregistrement, et les valeurs d’entrées de journal correspondantes sont utilisées dans le processus de sélection d’entrée par le programme de traitement des commandes CBX6071.
Je dois aussi indiquer que, pour minimiser l’impact sur la performance de la procédure d’extraction d’information ci-dessus, je charge et stocke toutes les données dans un objet d’index utilisateur et je fournis des fonctions permettant d’extraire les attributs appropriés quand et où c’est nécessaire. A chaque exécution de la commande ANZAUDJRN, la présence de l’index utilisateur et le niveau de release associé à son contenu sont vérifiés. L’information sur l’index utilisateur et sur l’entrée du journal est par la suite reconstruite si nécessaire, mais seulement à ce moment-là.
Certes, l’approche ci-dessus vous expose à voir IBM changer sa mise en œuvre des ressources concernées. Mais, compte tenu des circonstances actuelles, elle donne un résultat rapide et précis. Vous pourriez choisir une autre voie : acquérir manuellement et charger l’information dans l’index utilisateur, puis vérifier les changements possibles après chaque release supérieure. Si cette dernière possibilité vous inspire davantage et si vous avez besoin d’aide pour l’appliquer, n’hésitez pas à me contacter.
Ça marche — que faire ensuite ?
Le CPP (command processing program) principal de la commande ANZAUDJRN est très simple. Une fois que vous avez établi des paramètres pour l’appel d’API QjoRetrieveJournalEntries, il effectue le gros du travail (en tenant compte du nombre d’entrées du journal) à une vitesse impressionnante. Pour chaque entrée de journal extraite, les critères de sélection non directement supportés par l’API sont évalués par le CPP, et toutes les entrées acceptées sont ajoutées au panneau de la liste UIM (User Interface Manager) pour affichage ou impression.
Pour créer et exécuter la commande ANZAUDJRN, suivez les étapes documentées dans l’encadré « Spécification des sources de la commande ANZAUDJRN » ci-après. Puis, une fois que la tâche est effectuée, soumettez-la à un test. Pour savoir combien de fois et par qui la commande CHGUSRPRF a été exécutée pendant la durée couverte par la chaîne du récepteur de journal entier, j’ai exécuté la commande suivante :
ANZAUDJRN ENTTYP(CD) RCVRNG(*CURCHAIN) OBJ(CHGUSRPRF) OBJLIB(QSYS) OBJTYPE(*CMD)
Ensuite, j’ai exécuté ANZAUDJRN pour savoir combien de mots de passe modifiés n’ont pas satisfait aux valeurs système de composition de mot de passe (QPWD*) :
ANZAUDJRN ENTTYP(CP) EVTTYP(A) RCVRNG(*CURCHAIN) SEARCH(*SYSVAL 358)
La figure 7 montre à quoi ressemble le panneau de listes résultant. Le panneau de listes vous permet d’exécuter la commande Display Journal (DSPJRN) en positionnant la liste d’entrées produite à l’entrée du journal pour laquelle l’option 5 a été spécifiée. De même, vous pouvez exécuter la commande Work with Job (WRKJOB) pour le job qui a déposé l’entrée du journal sélectionnée, et finalement la commande Work with User Profile (WRKUSRPRF) pour le profil utilisateur associé à l’entrée du journal.
Un certain nombre de touches de fonction sont également disponibles pour fournir des raccourcis vers les commandes appropriées et lister les actions, y compris la commande Display Security Auditing (DSPSECAUD), la commande Work with Journal Attributes (WRKJRNA) affichant les attributs du journal d’audit du système (QAUDJRN), ainsi que la fenêtre ligne de commande. La touche de fonction F11 fait alterner les trois vues de listes incluses. En plus de ce qui précède, vous pouvez aussi visualiser le nom des programmes, la bibliothèque des programmes, le port à distance, et l’adresse IP à distance, ainsi que le type d’objet et le nom d’objet ou le chemin d’objet.
En conclusion
La commande ANZAUDJRN est très commode quand il faut suivre des types spécifiques d’activité d’utilisateur ou de programme sur votre système ou pour enquêter sur des événements de sécurité critiques. Comme disent les scouts : « Toujours prêts ! » En matière d’audit, c’est la moitié du chemin. Espérons que la commande ANZAUDJRN vous aidera à couvrir l’autre moitié.
Specification des sources de la commande ANZAUDJRN
Les membres source suivants interviennent dans la création de la commande ANZAUDJRN :
Member Type Text
CBX607 RPGLE Analyze Audit Journal—Services
CBX607B SRVSRC Analyze Audit Journal—Binder Source
CBX607C RPGLE Analyze Audit Journal—Choice Program
CBX607P RPGLE Analyze Audit Journal—PCP
CBX607V RPGLE Analyze Audit Journal—VCP
CBX607H PNLGRP Analyze Audit Journal—Help
CBX6071P PNLGRP Analyze Audit Journal—Panel Group
CBX6071 RPGLE Analyze Audit Journal—CPP 1
CBX6072 RPGLE Analyze Audit Journal—CPP 2
CBX607X CMD Analyze Audit Journal
CBX607M CLP Analyze Audit Journal—Build command
Pour faciliter la création de la commande ANZAUDJRN, j’ai inclus le programme CL CBX607M. Tout simplement, compilez et exécutez les programme CBX607M en suivant les instructions dans l’en-tête du source, et en fournissant votre bibliothèque cible comme seul paramètre.
Téléchargez le code à SystemiNetwork.com/code.
Téléchargez cette ressource
Comment sécuriser une PME avec l’approche par les risques ?
Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Cybersécurité Active Directory et les attaques de nouvelle génération
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- IBM i célèbre ses 25 ans
- Activer la mise en veille prolongée dans Windows 10
