Trouver une entrée FTP

Entry type PS est une permutation de profil entre l’utilisateur QTCP et celui qui se connecte en utilisant FTP. Voici comment trouver ce dont nous avons besoin :

1. Tapez la commande :

DSPJRN JRN(QAUDJRN) RCVRNG(*CURCHAIN)
FROMTIME(121807 175500)
ENTTYP(PS) USRPRF(QTCP)

2. Appuyez sur F10 et feuilletez pour voir les détails qui incluent l’adresse IP d’où est venu le téléchargement FTP.
Sur les systèmes V5R2 ou ultérieurs, l’adresse IP est incluse dans le journal d’audit. Notez aussi l’adresse IP notée dans le champ Remote address. C’est l’adresse IP de l’emplacement (généralement un PC) qui a téléchargé ce fichier save. Si vous utilisez un produit de sécurité tiers, il peut aussi avoir des logs pour l’information FTP dans cet endroit.

L’entrée PS (Profile swap) dans le journal d’audit sera pratique quand vous rechercherez des informations provenant d’un job serveur.

Dès lors que vous avez l’adresse IP, reste à trouver à qui elle appartient. En supposant que votre réseau utilise des adresses IP statiques, vous pouvez parler à vos administrateurs réseau pour trouver le PC ou le serveur qui utilise cette adresse. Vous pouvez aussi continuer votre travail de détective avec la commande NETSTAT, par les opérations suivantes :

1. Tapez NETSTAT *CNN à la ligne de commande.

2. Vous verrez la liste de tout le trafic IP dirigé vers votre System i. S’il y a beaucoup de communications et de serveurs, cette liste sera longue. Pour diviser cette information en sous-ensembles, tapez F15.

3. Dans le champ Lower value de la section Remote internet address ranges, mettez l’adresse IP que vous avez trouvée. C’était 172.36.142.22 pour mon PC, mais la vôtre peut être différente.

4. Vous pouvez démarrer FTP à partir de votre PC vers le System i et voir la conversation tant qu’elle reste active. Si cette machine est connectée à votre System i, vous verrez les conversations qui lui sont associées. Rappelons que votre serveur FTP System i doit être actif. S’il ne l’est pas, vous pouvez le démarrer en tapant la commande STRTCPSVR SERVER(*FTP).

5. Prenez l’option 8 sur la conversation associée Local Port telnet et vous verrez la session pour cet utilisateur. Cet écran vous donnera des détails sur le job interactif pour cette adresse IP. Vos administrateurs LAN peuvent aussi vous aider à suivre l’adresse IP, particulièrement si votre entreprise utilise des adresses statiques.

6. Si le nom du job appartient à une station de travail spécifique (au lieu d’une unité QPADEVxxxxx, vous pouvez utiliser la commande WRKJOB pour voir quel (s) utilisateur (s) ont signé ici.

Vous pouvez aussi utiliser le log d’historique en tapant la commande

DSPLOG LOG(QHST) PERIOD((*AVAIL *BEGIN))
JOB(JOBNAME)

et en utilisant l’ID station de travail comme nom de job. Vous obtiendrez la liste de tous les jobs station de travail et des utilisateurs qui s’y sont connectés, aussi loin que votre log d’historique l’a enregistré.