Anwendungsbereich: | SECURITY-ADMINISTRATION |
Privilegierung: | SECURITY-ADMINISTRATION |
Mit diesem Kommando definiert der Sicherheitsbeauftragte Bedingungen zur Vorauswahl der SAT-Protokollierung.
Die Filterdefinition kann mit dem Kommando /SHOW-SAT-FILTER-CONDITIONS angezeigt und mit /REMOVE-SAT-FILTER-CONDITIONS wieder entfernt werden.
Wenn für ein Ereignis eine Vorauswahl möglich ist, wird diese Bedingung mit herangezogen, um zu entscheiden, ob das Ereignis protokolliert werden soll oder nicht.
Die zur Entscheidungsfindung benutzten Ereignisse sind wie folgt festgelegt:
durch den Ereignisnamen und das Ergebnis beim Eintreten des Ereignisses.
durch die Benutzerkennung des registrierten Ereignisses.
durch die Information zu diesem Ereignis.
Hinweise
Protokollsätze, auf die keine Filterbedingung zutrifft, werden aufgezeichnet.
Falls auf einen Protokollsatz eine einzige Filterbedingung zutrifft, so gilt die in dieser Bedingung festgelegte Aktion.
Wenn auf einen Protokollsatz mehrere Filterbedingungen gleichzeitig zutreffen, so sind die beiden folgenden Fälle zu unterscheiden:
Falls mindestens eine der zutreffenden Filterbedingungen im Operanden TRIGGER-ACTION die Angabe *LOGGING(RECORDING=*YES) enthält, wird der Protokollsatz aufgezeichnet.
Nur wenn alle zutreffenden Filterbedingungen im Operanden TRIGGER-ACTION die Angabe *LOGGING(RECORDING=*NO) enthalten, wird der Protokollsatz nicht aufgezeichnet.
ADD-SAT-FILTER-CONDITIONS | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
NAME = <name 1..8>
Name des Filters.
SELECT = *PARAMETERS(...)
Hier wird festgelegt, welche Ereignisse die Filterbedingung erfüllen.
EVENT-NAME =
Art und Resultat der Ereignisse, die die Filterbedingung erfüllen.
EVENT-NAME = *ALL
Alle von SAT registrierbaren Ereignisse erfüllen die Filterbedingung.
EVENT-NAME = list-poss(50): <name 3..3>(...)
Expliziter Name eines Ereignisses. Der Name des Ereignisses muss der „Tabelle derObjektereignisse“ entnommen sein.
RESULT = *ALL / *SUCCESS / *FAILURE
Spezifiziert welches Ergebnis das Ereignis haben muss.
USER-IDENTIFICATION =
Gibt an, welche Benutzerkennungen die Filterbedingung erfüllen.
USER-IDENTIFICATION = *ALL
Jede Benutzerkennung erfüllt die Filterbedingung.
USER-IDENTIFICATION = list-poss(50): <name 1..8>
Nur Ereignisse, die die angegebenen Benutzerkennungen betreffen, erfüllen die Filterbedingung. Die Benutzerkennungen müssen zum Zeitpunkt der Definition der Filterbedingung dem System nicht bekannt sein.
FIELD-NAME =
Spezifiziert, welches Datenfeld eines Ereignisses geprüft werden soll.
FIELD-NAME = *ALL
Alle Datenfelder eines Ereignisses werden geprüft.
FIELD-NAME = list-poss(50): <name 3..7>(...)
Nur ein hier spezifiziertes Datenfeld wird geprüft. Die Liste der möglichen Feldnamen findet sich in der „ Tabellen der protokollierbaren Information je Objektereignis (1)".
VALUE = *ALL / *MATCH(...) / *NOT-MATCH(...) / list-poss(10): <text> /
list-poss(10): <integer 0..2147483647>(...)
Die Liste der Feldnamen und der dort ausgegebenen Information findet sich in den „Tabellen der protokollierbaren Information je Objektereignis (1)". <text> hängt vom protokollierten Datenfeld ab.
VALUE = *MATCH(...)
Angabe eines Musters für den Feldnamen. Die Bedingung ist gültig, wenn der Vergleichswert in dieses Muster passt. Die Muster-Angabe ist nur für Feldnamen erlaubt, deren Werte eine Zeichenkette darstellen (<c-string>, <filename>,
<name>).
PATTERN = <text>
Muster-Angabe im Format <c-string 1..255>, wobei analog zum SDF-Datentyp <c-string with-wild (n)> Teile der Zeichenfolge durch Platzhalter (wildcards) ersetzt werden können.
Die zur Verfügung stehenden Wildcard-Zeichen sind:
* | Ersetzt eine beliebige, auch leere Zeichenfolge. |
/ | Ersetzt genau ein beliebiges Zeichen. |
\ | Entwertet Platzhalter (* / < > : ,) in einer Zeichenfolge |
<sx:sy> | Ersetzt eine Zeichenfolge für die gilt:
|
<s1,...> | Ersetzt alle Zeichenfolgen, auf die eine der mit s angegebenen Zeichenkombinationen zutrifft. s kann auch eine leere Zeichenfolge sein. Jede Zeichenfolge s kann auch eine Bereichsangabe <sx:sy> sein. |
VALUE = *NOT-MATCH(...)
Angabe eines Musters für den Feldnamen. Die Bedingung ist gültig, wenn der Vergleichswert nicht in dieses Muster passt. Die Muster-Angabe ist nur für Feldnamen erlaubt, deren Werte eine Zeichenkette darstellen (<c-string>, <filename>,
<name>).
PATTERN = <text>
Musterangabe wie bei VALUE=*MATCH.
VALUE = <integer 0..2147483647>(...)
Angabe eines Zahlenwertes für den Feldnamen. Diese Angabe ist nur für Feldnamen erlaubt, deren Werte vom Typ <integer> sind.
UNIT = *BYTES / *KB / *MB / *GB
Angabe der Maßeinheit, in der die mit dem Operanden VALUE vorgenommene Wertangabe zu interpretieren ist. Diese Angabe ist nur für die Feldnamen filpos, curlim2 und maxlim2 erlaubt.
Dabei gilt Folgendes:
Falls implizit oder explizit UNIT=*BYTES festgelegt ist, muss der Wert ein Vielfaches von 512 sein.
Der Maximalwert von 240-512 (=1 099 511 627 264) Bytes darf auch nicht überschritten werden, wenn UNIT=*KB / *MB / *GB angegeben ist. Damit ergeben sich abhängig von der UNIT-Angabe folgende Maximalwerte:
UNIT=
Maximalwert bei VALUE
entspricht in Bytes
*BYTES
231-1 = 2 147 483 647
231-1 = 2 147 483 647
*KB
230-1 = 1 073 741 823
240-210 = 1 099 511 626 752
*MB
220-1 = 1 048 575
240-220 = 1 099 510 579 200
*GB
210-1 = 1 023
240-230 = 1 098 437 885 952
TRIGGER-ACTION = *LOGGING(...)
Gibt an, welche Aktion ausgeführt werden soll, wenn die mit dem Operanden SELECT festgelegte Bedingung erfüllt ist.
RECORDING =
Angabe, ob ein Ereignis protokolliert werden soll.
RECORDING = *YES
Das Ereignis wird protokolliert.
RECORDING = *NO
Das Ereignis wird nicht protokolliert, sofern keine andere Filterbedingung die Protokollierung verlangt.
Kommando-Returncode
(SC2) | SC1 | Maincode | Bedeutung |
0 | CMD0001 | Kommando erfolgreich ausgeführt | |
32 | SAT0000 | Nicht behebbarer Fehler | |
64 | SAT1000 | Benutzer für Kommando nicht privilegiert | |
64 | SAT1020 | Ereignis in Ereignisliste bereits vorhanden | |
64 | SAT1022 | Feld bereits in Feldliste vorhanden | |
64 | SAT1023 | Feld hat doppelte Werte | |
64 | SAT1029 | Ereignis unbekannt | |
64 | SAT1030 | Benutzer in Benutzerliste bereits vorhanden | |
64 | SAT1031 | Filter bereits vorhanden | |
64 | SAT1035 | Wert ist kein Vielfaches von 512 oder zu groß | |
64 | SAT1050 | Kommando nur erlaubt, wenn Logging-Funktion aktiviert | |
64 | SAT1073 | Filtertabelle ist voll | |
128 | SAT1010 | Anderes Kommando wird derzeit ausgeführt | |
128 | SAT1080 | Wechsel in Vorbereitung |
Hinweise
Es gibt keine vordefinierten Filterdefinitionen. Beim allerersten Start von SAT ist die SAT-Parameter-Datei noch nicht vorhanden; es können aus ihr deshalb auch keine Definitionen gelesen werden.
Es ist allerdings möglich, mit dem Kommando /SAVE-SAT-PARAMETERS eine SAT-Parameter-Datei für die nächste Sitzung bereitzustellen. Beim nächsten Start von SAT stehen dann Definitionen mit den Standard-Werten zur Verfügung. Für Filterdefinitionen gibt es keine Standard-Werte. Werden in der SAT-Parameter-Datei nicht die aktuellen Werte gespeichert, werden für die nächste Sitzung keine Filterdefinitionen übernommen.
Es können maximal 32 Filterdefinitionen hinterlegt werden.
Die Verwendung einer Negativliste von Feldnamen und die Trigger-Action RECORDING=*YES führt meist nicht zur Verringerung des Aufzeichnungsumfang, da in einem Protokollsatz meist Felder enthalten sind, die dann ein Aufzeichnen anfordern.
Für die Auswertung einer Filterbedingung mit UNIT-Angabe ist grundsätzlich nur der Wert von Belang, der sich aus der Multiplikation der VALUE- und der UNIT-Angabe ergibt, nicht jedoch wie dieser Wert zustande kommt.
Beispiele
Die folgenden Angaben werden als gleichwertig betrachtet, da jede denselben Wert von 3145728 Bytes darstellt:
VALUE=3145728(UNIT=*BYTES) VALUE=3072(UNIT=*KB) VALUE=3(UNIT=*MB)
Ein ADD-SAT-FILTER-CONDITIONS-Kommando mit der Angabe
FIELD-NAME=*FILPOS(VALUE=(3072(UNIT=*KB),3(UNIT=*MB)))wird daher mit folgender Meldung zurückgewiesen:
SAT1023 FIELD 'FILPOS' CONTAINS DUPLICATE VALUES. COMMAND REJECTEDEine Filterbedingung mit der Angabe
FIELD-NAME=*FILPOS(VALUE=3072(UNIT=*KB))trifft zu, wenn der zu protokollierende Satz
FILPOS=6144enthält. Grund: Die Angabe im Satz stellt ein Vielfaches von 512 Bytes dar (siehe „filpos in Tabelle der protokollierbaren Informationen (Feldnamen)) und 6144*512 Bytes = 3145728 Bytes = 3072 KB.
Posix-filenames und Kerberos-Namen werden von SAT ohne Einschränkung protokolliert. Bei der Definition von SAT-Filtern wird die Groß- und Kleinschreibung bei folgenden SAT-Feldern unterstützt: AUDITID, HOMEDIR, LINKNAM, NEWPATH, PATHNAM, PRINCCL, PRINCSV, SHELL, SYMBDEV. Die Felder können mit Ausnahme von SYMBDEV allerdings nur in einer Länge von max. 255 Bytes angegeben werden. Events mit längeren Feldinhalten können durch die Angabe von Wildcards selektiert werden. Für die Angabe eines Einzelnamens (ohne Wildcards) werden Sonderzeichen zugelassen, wie sie für posix-filenames bzw. für Kerberos-Namen erlaubt sind.
Siehe auch allgemeine Hinweise zu den SAT-Kommandos "Funktionelle Übersicht".
Beispiel
Folgende Zugriffe sollen aufgezeichnet werden, falls sie auf Dateien erfolgen, die im Katalog „CAT1“ katalogisiert sind und deren Name die Zeichenfolgen „SYS“ und „ABC“ enthält: „Lesen der Schutzattribute“ (FRS), falls erfolgreich, und „Katalog exportieren“ (CEP)
|
Die Zugriffe auf die Dateien, deren Name mit „$TSOS.SYSLNK.“ beginnt, sollen nicht aufgezeichnet werden.
|
Das Ereignis „Datei-Löschen“ (FDD) soll aber für alle Dateien aufgezeichnet werden:
|
Für das Löschen einer Datei, deren Name mit $TSOS.SYSLNK. beginnt, treffen beide Bedingungen zu. Da in einer dieser Bedingungen die Aufzeichnung verlangt wird, wird der entsprechende Protokollsatz aufgezeichnet.
Weitere Beispiele finden Sie bei /MODIFY-SAT-FILTER-CONDITIONS.