監査ジャーナルから履歴を追いたい
Question
先日、重要なオブジェクトが消えていることが解りました。 消えてしまった原因(犯人)を調査するために、ヒストリーログを確認しましたが、記録がありませんでした。 弊社環境では、監査ジャーナルが設定されているようなのですが、そこから確認することは可能でしょうか。
監査ジャーナルから原因が解るような履歴を追うことができるのであれば、方法を教えてほしいです。
Answer
監査ジャーナルが動いている場合、ジャーナル「QSYS/QAUDJRN」から、ログを追うことが可能です。 オブジェクトの削除を示すジャーナルタイプは「DO」になりますので、以下の例では、DOだけを抽出しています。
例: DSPJRN JRN(QSYS/QAUDJRN) RCVRNG(*CURCHAIN) ENTTYP(DO)
※ RCVRNG(*CURCHAIN)は、どのレシーバーからログを見るかの指定になります。
不明な場合は「*CURCHAIN」が良いかと思います。
※ もし、削除時期がおおよそわかるようであれば、「FROMTIME(yymmdd hhmmss) を指定すると、指定された日付からログを取り出すことが可能です。
ジャーナル項目が表示されますので、該当のものに「5= 項目全体の表示」を入れて実行してください。
「F10= 項目詳細のみの表示」を押しますと、削除したジョブ名や日付時刻などを確認することができます。
なお、画面表示ではなくファイルに出力したい場合は、コマンドのパラメータに「OUTPUT(*OUTFILE)」および「OUTFILE(lib-name/file-name)」を指定することで可能です。出力されたファイルをQUERYなどでご確認ください。
※消えた原因(犯人)のプロファイルが解っても、プロファイルを共有で使っている場合等は原因の特定ができない場合もあります。
by かんぴょう木綿さん