監査ジャーナルからオブジェクト削除ログを確認する方法
Question
先日、ファイルがシステム上から削除されてしまったようで、その原因を調査する必要が出てきました。
弊社では監査ジャーナルを使用しているようなのですが、この監査ジャーナルから調査することは可能でしょうか。
Answer
監査ジャーナルが仕掛けてあり、システム値「QAUDLVL」に「*DELETE」の設定がある場合、調査が可能です。
以下にその手順をご案内いたします。
- CPYAUDJRNE コマンドにて情報をファイル出力する
コマンド例:
CPYAUDJRNE ENTTYP(DO) OUTFILE(QTEMP/QAUD) JRNRCV(*CURCHAIN) FROMTIME(yymmdd hhmmss) TOTIME(yymmdd hhmmss)
※ 削除されたオブジェクトに関するジャーナル項目は「DO」となりますので、ENTTYP(DO) を指定します。
※ OUTFILE(QTEMP/QAUD) は、「出力ファイル接頭部」の指定となります。この場合、作成されるファイル名は「QTEMP/QAUDDO(出力ファイル接頭部 + ジャーナル項目DO)です。
※ 監査ジャーナルが多く残っていると出力ファイルサイズが大きくなります。ファイルが削除されたおおよそのタイミングがわかっているようであれば、「FROMTIME」および「TOTIME」をご指定ください。
コマンド例の内容で実行しますと、ファイル「QTEMP/QAUDDO」が作成されます。
- QUERYなどで確認する
一旦RUNQRYで実行して見ていただくと、監査ジャーナルにある様々な情報が表示されるかと思います。
ファイル名を特定して表示させる場合は、WRKQRY で定義を作成する、あるいは RUNQRY で RCDSLT(*YES) を指定し、以下を指定いただくのが良いかと思います。
DOONAM オブジェクトの名前 DOOLIB ライブラリー名 そうしますと、対象のファイルが、いつ、どのジョブで、どのユーザーによって削除されたか確認できるかと思います。
監査ジャーナルを使用している場合、セキュリティーツールをご利用になっている可能性もありますので、その場合はツール側から確認いただいてもよいかと思います。
by かんぴょう木綿さん
