SECOS V5.6 (de)

&pagelevel(4)&pagelevel

Anwendungsbereich:	SECURITY-ADMINISTRATION
Privilegierung:	SECURITY-ADMINISTRATION

Mit diesem Kommando definiert der Sicherheitsbeauftragte Bedingungen für das Eintreten einer Alarmsituation.
Die Alarmdefinition kann mit dem Kommando /SHOW-SAT-ALARM-CONDITIONS angezeigt und mit /REMOVE-SAT-ALARM-CONDITIONS wieder entfernt werden.

Die alarmauslösenden Ereignisse werden wie folgt spezifiziert:

durch den Ereignisnamen und das Ergebnis beim Eintreten des Ereignisses
durch die Benutzerkennung des registrierten Ereignisses
durch die Information zu diesem Ereignis

Tritt eine bestimmte Anzahl derartiger Ereignisse in einem vorgegebenen Zeitraum ein, so wird ein Alarm in Form einer Meldung auf der Operator-Konsole ausgelöst.

ADD-SAT-ALARM-CONDITIONS

NAME = <name 1..8>
, SELECT = *PARAMETERS(...)
	*PARAMETERS(...)
		\|	EVENT-NAME = *ALL / list-poss(50): <name 3..3>(...)
		\|		<name 3..3>(...)
		\|			\|	RESULT = ALL / SUCCESS / *FAILURE
		\|	, USER-IDENTIFICATION = *ALL / list-poss(50): <name 1..8>
		\|	, FIELD-NAME = *ALL / list-poss(50): <name 3..7>(...)
		\|		<name 3..7>(...)
		\|			\|	VALUE = ALL / MATCH(...) / *NOT-MATCH(...) / list-poss(10): <text> /
		\|			\|					list-poss(10): <integer 0..2147483647>(...)
		\|			\|		MATCH(PATTERN=*<text>)
		\|			\|		NOT-MATCH(PATTERN=*<text>)
		\|			\|		<integer 0..2147483647>(...)
		\|			\|			\|	UNIT = BYTES / KB / MB / GB
, TIME-LIMIT = UNDEFINED / WITHIN(...)
	*WITHIN(...)
		\|	DAYS = <integer 0..365>
		\|	, HOURS = <integer 0..23>
		\|	, MINUTES = <integer 0..59>
, REPEAT = 3 / <integer 1..255>
, TRIGGER-ACTION = *OPERATOR-MESSAGE(...)
	*OPERATOR-MESSAGE(...)
		\|	WAIT-RESPONSE = YES / NO

NAME = <name 1..8>
Name des Alarms.

SELECT = *PARAMETERS(...)
Hier wird definiert, welche Ereignisbedingungen zutreffen müssen, um die Alarmdefinition zu erfüllen.

EVENT-NAME =
Art und Resultat der zu überwachenden Ereignisse.

EVENT-NAME = *ALL
Es werden alle von SAT registrierbaren Ereignisse für die Alarm-Funktion überwacht.

EVENT-NAME = list-poss(50): <name 3..3>(...)
Expliziter Name eines Ereignisses. Der Name des Ereignisses muss der „Tabelle der Objektereignisse" entnommen sein. Bei der Angabe von Ereignissen des Produkts POSIX beachten Sie bitte insbesondere Hinweis 4.

RESULT = *ALL / *SUCCESS / *FAILURE
Spezifiziert welches Ergebnis das Ereignis haben muss.

USER-IDENTIFICATION =
Gibt an, welche Benutzerkennungen überwacht werden sollen.

USER-IDENTIFICATION = *ALL
Jede Benutzerkennung wird überwacht.

USER-IDENTIFICATION = list-poss(50): <name 1..8>
Die angegebenen Benutzerkennungen werden überwacht. Die Benutzerkennungen müssen zum Zeitpunkt der Definition der Alarmbedingung dem System nicht bekannt sein.

FIELD-NAME =
Spezifiziert, welches Datenfeld eines Ereignisses überwacht werden soll.

FIELD-NAME = *ALL
Alle Datenfelder eines Ereignisses werden überwacht.

FIELD-NAME = list-poss(50): <name 3..7>(...)
Nur ein hier spezifiziertes Datenfeld wird überwacht. Die Liste der möglichen Feldnamen findet sich in den „Tabellen der protokollierbaren Information je Objektereignis (1)".

VALUE = *ALL / *MATCH(...) / *NOT-MATCH(...) / list-poss(10): <text> / list-poss(10): <integer 0..2147483647>(...)
Die Liste der Feldnamen und der dort ausgegebenen Information findet sich in den „ „Tabellen der protokollierbaren Information je Objektereignis (1)" <text> hängt vom protokollierten Datenfeld ab.

VALUE = *MATCH(...)
Angabe eines Musters für den Feldnamen. Die Bedingung ist gültig, wenn der Vergleichswert in dieses Muster passt. Die Muster-Angabe ist nur für Feldnamen erlaubt, deren Werte eine Zeichenkette darstellen (<c-string>, <filename>,
<name>).

PATTERN = <text>
Muster-Angabe im Format <c-string 1..255>, wobei analog zum SDF-Datentyp <c-string with-wild (n)> Teile der Zeichenfolge durch Platzhalter (wildcards) ersetzt werden können.

Die zur Verfügung stehenden Wildcard-Zeichen sind:

*	Ersetzt eine beliebige, auch leere Zeichenfolge.
/	Ersetzt genau ein beliebiges Zeichen.
\	Entwertet Platzhalter (* / < > : ,) in einer Zeichenfolge (z.B. ab\c bezeichnet die Zeichenfolge „abc“).
<s_x:s_y>	Ersetzt eine Zeichenfolge für die gilt: Sie ist mindestens so lang wie die kürzeste Zeichenfolge (s_x oder s_y). Sie ist höchstens so lang wie die längste Zeichenfolge (s_x oder s_y). Sie liegt in der alphabetischen Sortierung zwischen s_x und s_y; Zahlen werden hinter Buchstaben sortiert (A...Z 0...9).
	s_x darf auch die leere Zeichenfolge sein, die in alphabetischer Sortierung an erster Stelle steht. s_y darf auch die leere Zeichenfolge sein, die an dieser Stelle für die Zeichenfolge mit der höchsten möglichen Codierung steht (enthält nur die Zeichen X‘FF‘). s_x muss in der alphabetischen Sortierung vor s_y stehen. Ist s_xkürzer als s_y wird s_x mit X‘00‘ aufgefüllt. Ist s_y kürzer als s_x wird s_y mit X‘FF‘ aufgefüllt. Weder in s_x noch in s_y dürfen Platzhalter vorkommen.
<s1,...>	Ersetzt alle Zeichenfolgen, auf die eine der mit s angegebenen Zeichenkombinationen zutrifft. s kann auch eine leere Zeichenfolge sein. Jede Zeichenfolge s kann auch eine Bereichsangabe <s_x:s_y> sein.

VALUE = *NOT-MATCH(...)
Angabe eines Musters für den Feldnamen. Die Bedingung ist gültig, wenn der Vergleichswert nicht in dieses Muster passt. Die Muster-Angabe ist nur für Feldnamen erlaubt, deren Werte eine Zeichenkette darstellen (<c-string>, <filename>, <name>).

PATTERN = <text>
Musterangabe wie bei VALUE=*MATCH.

VALUE = <integer 0..2147483647>(...)
Angabe eines Zahlenwertes für den Feldnamen. Diese Angabe ist nur für Feldnamen erlaubt, deren Werte vom Typ <integer> sind.

UNIT = *BYTES / *KB / *MB / *GB
Angabe der Maßeinheit, in der die mit dem Operanden VALUE vorgenommene Wertangabe zu interpretieren ist. Diese Angabe ist nur für die Feldnamen filpos, curlim2 und maxlim2 erlaubt.

Dabei gilt Folgendes:

Falls implizit oder explizit UNIT=*BYTES festgelegt ist, muss der Wert ein Vielfaches von 512 sein.

Der Maximalwert von 2⁴⁰-512 (=1 099 511 627 264) Bytes darf auch nicht überschritten werden, wenn UNIT=*KB / *MB / *GB angegeben ist. Damit ergeben sich abhängig von der UNIT-Angabe folgende Maximalwerte:

UNIT=	Maximalwert bei VALUE	entspricht in Bytes
*BYTES	2³¹-1 = 2 147 483 647	2³¹-1 = 2 147 483 647
*KB	2³⁰-1 = 1 073 741 823	2⁴⁰-2¹⁰= 1 099 511 626 752
*MB	2²⁰-1 = 1 048 575	2⁴⁰-2²⁰= 1 099 510 579 200
*GB	2¹⁰-1 = 1 023	2⁴⁰-2³⁰= 1 098 437 885 952

TIME-LIMIT =
Zeitraum, innerhalb das (mit REPEAT festgelegte, x-malige) Auftreten eines Ereignisses zu einem Alarm führt.

TIME-LIMIT = *UNDEFINED
Es wird der gesamte Zeitraum einer SAT-Protokollierung bewertet. Dies bedeutet, dass schon das x-malige Auftreten eines Ereignisses zu einem Alarm führt. Soll z.B. die falsche Eingabe von Kennwörtern überwacht werden, führt im Überwachungszustand TIME-LIMIT=UNDEFINED auch die einmal wöchentlich falsche Eingabe (eventuell wegen Tippfehler) zu einem Alarm. Der Aufmerksamkeitswert des Alarms wird durch diese Art von Meldungen deutlich verringert. Überwachungen über große Zeiträume hinweg sind deshalb angemessener mit der Auswertung von SATLOG-Dateien durchzuführen.

TIME-LIMIT = *WITHIN(...)
Gibt den Zeitraum an, der zwischen dem ersten Auftreten und dem letzten des zu bewertenden Ereignisses liegen darf. Es sind alle drei Operanden mit Parametern zu versorgen.

DAYS = <integer 0..365>
Angabe des Zeitraums in Tagen.

HOURS = <integer 0..23>
Angabe des Zeitraums in Stunden.

MINUTES = <integer 0..59>
Angabe des Zeitraums in Minuten.

REPEAT= 3 / <integer 1..255>
Anzahl, wie oft ein Ereignis im definierten Zeitraum eintreten muss, um einen Alarm auszulösen.

TRIGGER-ACTION = *OPERATOR-MESSAGE(...)
Gibt an, welche Aktion ausgeführt werden soll, um den Alarm zu geben und wie darauf geantwortet werden soll. In dieser Version ist nur die Ausgabe einer Meldung (SAT2200) auf die Operator-Konsole möglich.

WAIT-RESPONSE = *YES / *NO
Gibt an, ob die Meldung bestätigt werden muss oder nicht.

Kommando-Returncode

(SC2)	SC1	Maincode	Bedeutung
	0	CMD0001	Kommando erfolgreich ausgeführt Warnung: Benutzer ist unbekannt
	32	SAT0000	Nicht behebbarer Fehler
	64	SAT1000	Benutzer für Kommando nicht privilegiert
	64	SAT1020	Ereignis in Ereignisliste bereits vorhanden
	64	SAT1022	Feld bereits in Feldliste vorhanden
	64	SAT1023	Feld hat doppelte Werte
	64	SAT1026	Angegebenes Zeitlimit ungültig
	64	SAT1027	Alarm bereits vorhanden
	64	SAT1029	Ereignis unbekannt
	64	SAT1030	Benutzer in Benutzerliste bereits vorhanden
	64	SAT1035	Wert ist kein Vielfaches von 512 oder zu groß
	64	SAT1050	Kommando nur erlaubt, wenn Logging-Funktion aktiviert
	64	SAT1071	Alarmtabelle ist voll
	128	SAT1010	Anderes Kommando wird derzeit ausgeführt
	128	SAT1080	Wechsel in Vorbereitung

Hinweise

Es gibt keine vordefinierten Alarmdefinitionen. Beim allerersten Start von SAT ist die SAT-Parameter-Datei noch nicht vorhanden; es können aus ihr deshalb auch keine Definitionen gelesen werden.
Es ist allerdings möglich, mit dem Kommando /SAVE-SAT-PARAMETERS eine SAT-Parameter-Datei für die nächste Sitzung bereitzustellen. Beim nächsten Start von SAT stehen dann Definitionen mit den Standard-Werten zur Verfügung. Für
Alarmdefinitionen gibt es keine Standard-Werte. Werden in der SAT-Parameter-Datei nicht die aktuellen Werte gespeichert, werden für die nächste Sitzung keine Alarmdefinitionen übernommen.
Es können maximal 32 Alarmdefinitionen hinterlegt werden.
Enthält eine Alarmdefinition ein Ereignis eines Produkts, für das die Aktivierung des SAT-Supports mit /MODIFY-SAT-SUPPORT-PARAMETERS gesteuert werden kann (in der aktuellen Version ist dies nur das Produkt POSIX), so kann dieser Alarm bei Auftreten des Ereignisses nur ausgelöst werden, wenn für das betreffende Produkt der SAT-Support aktiviert ist.
Für die Auswertung einer Alarmbedingung mit UNIT-Angabe ist grundsätzlich nur der Wert von Belang, der sich aus der Multiplikation der VALUE- und der UNIT-Angabe ergibt, nicht jedoch, wie dieser Wert zustande kommt.
Beispiele
Die folgenden Angaben werden als gleichwertig betrachtet, da jede denselben Wert von 3145728 Bytes darstellt:
```
VALUE=3145728(UNIT=*BYTES)
VALUE=3072(UNIT=*KB)
VALUE=3(UNIT=*MB)
```
1. Ein ADD-SAT-ALARM-CONDITIONS-Kommando mit der Angabe
  FIELD-NAME=*FILPOS(VALUE=(3072(UNIT=*KB),3(UNIT=*MB)))
  wird daher mit folgender Meldung zurückgewiesen:
  SAT1023 FIELD 'FILPOS' CONTAINS DUPLICATE VALUES. COMMAND REJECTED
2. Eine Alarmbedingung mit der Angabe
  FIELD-NAME=*FILPOS(VALUE=3072(UNIT=*KB))
  trifft zu, wenn der zu protokollierende Satz FILPOS=6144 enthält. Grund: Die Angabe im Satz stellt ein Vielfaches von 512 Bytes dar (siehe „filpos" in "Tabelle der protokollierbaren Informationen (Feldnamen)) und 6144*512 Bytes = 3145728 Bytes = 3072 KB.
Posix-filenames und Kerberos-Namen werden von SAT ohne Einschränkung protokolliert. Bei der Definition von SAT-Alarmen wird die Groß- und Kleinschreibung bei folgenden SAT-Feldern unterstützt: AUDITID, HOMEDIR, LINKNAM, NEWPATH, PATHNAM, PRINCCL, PRINCSV, SHELL, SYMBDEV. Die Felder können mit Ausnahme von SYMBDEV allerdings nur in einer Länge von max. 255 Bytes angegeben werden. Events mit längeren Feldinhalten können durch die Angabe von Wildcards selektiert werden. Für die Angabe eines Einzelnamens (ohne Wildcards) werden Sonderzeichen zugelassen, wie sie für posix-filenames bzw. für Kerberos-Namen erlaubt sind.
Siehe auch allgemeine Hinweise zu den SAT-Kommandos "Funktionelle Übersicht".

Beispiel

Jeder fehlerhafte Versuch, sich an der Station DSN30151 unter der Kennung SYSPRIV anzumelden, soll zu einem Alarm führen (für das Beispiel wird angenommen, dass die angegebene Station meistens vom Sicherheitsbeauftragten verwendet wird):

/add-sat-alarm-conditions name=badlogon,select=*parameters( -
/                 event-name=jde(result=*failure), -
/                 user-identification=syspriv, -
/                 field=station(value='dsn30151')),repeat=1

Your Browser is not longer supported

Please use Google Chrome, Mozilla Firefox or Microsoft Edge to view the page correctly

ADD-SAT-ALARM-CONDITIONS Alarmbedingung definieren

Hinweise

Beispiel