Anwendungsbereich: | SECURITY-ADMINISTRATION |
Privilegierung: | SECURITY-ADMINISTRATION |
Mit dem Kommando /MODIFY-SAT-ALARM-CONDITIONS kann eine bestehende Alarmdefinition (/ADD-SAT-ALARM-CONDITIONS) geändert werden.
MODIFY-SAT-ALARM-CONDITIONS | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
NAME = <name 1..8>
Name des Alarms.
SELECT = *PARAMETERS(...)
Definiert, welche der bestehenden Bedingungen geändert werden sollen.
EVENT-NAME = *UNCHANGED / *ALL / list-poss(50): <name 3..3>(...)
Art und Resultat der zu überwachenden Ereignisse.
EVENT-NAME = *ALL
Es werden alle von SAT registrierbaren Ereignisse für die Alarm-Funktion überwacht.
EVENT-NAME = list-poss(50): <name 3..3>(...)
Expliziter Name eines Ereignisses. Der Name des Ereignisses muss der „Tabelle derObjektereignisse“ entnommen sein. Bei der Angabe von Ereignissen des Produkts POSIX beachten Sie bitte insbesondere Hinweis 6.
SELECT-SWITCH =
Spezifiziert, ob das Ereignis hinzugefügt oder entfernt werden soll.
SELECT-SWITCH = *ON(...)
Ereignis und Ergebnis werden zu der Alarmdefinition hinzugefügt.
RESULT = *ALL / *SUCCESS / *FAILURE
Spezifiziert, welches Ergebnis das Ereignis haben muss.
SELECT-SWITCH = *OFF
Das Ereignis wird aus der Alarmdefinition entfernt.
USER-IDENTIFICATION = *UNCHANGED / *ALL / list-poss(50): <name 1..8>(...)
Gibt an, welche Benutzerkennungen überwacht werden sollen.
USER-IDENTIFICATION = *ALL
Jede Benutzerkennung wird überwacht.
USER-IDENTIFICATION = list-poss(50): <name 1..8>(...)
Die angegebenen Benutzerkennungen werden überwacht. Die Benutzerkennung muss zum Zeitpunkt der Definition der Alarmbedingung dem System nicht bekannt sein.
SELECT-SWITCH =
Spezifiziert, ob die Benutzerkennung hinzugefügt oder entfernt werden soll.
SELECT-SWITCH = *ON
Die Kennung wird zur Alarmdefinition hinzugefügt.
SELECT-SWITCH = *OFF
Die Kennung wird aus der Alarmdefinition entfernt.
FIELD-NAME = *UNCHANGED / *ALL / list-poss(50): <name 3..7>(...)
Spezifiziert, welches Datenfeld eines Ereignisses überwacht werden soll.
FIELD-NAME = *ALL
Alle Datenfelder eines Ereignisses werden überwacht.
FIELD-NAME = list-poss(50): <name 3..7>(...)
Es wird ein Datenfeld spezifiziert. Die Tabelle der möglichen Feldnamen findet sich in den „Tabellen der protokollierbaren Information je Objektereignis (1)“.
SELECT-SWITCH =
Zu überwachende Informationen werden der Definition hinzugefügt oder aus ihr entfernt, wenn sie einen mit dem Operanden VALUE festgelegten Wert haben. Die Tabelle der Feldnamen und der dort ausgegebenen Information findet sich in der „Tabellen der protokollierbaren Information je Objektereignis (1)“. <text> hängt vom protokollierten Datenfeld ab.
SELECT-SWITCH = *ON(...)
Fügt zu überwachende Informationen der Alarmdefinition hinzu.
VALUE = *ALL
Jede Information wird überwacht.
VALUE = *MATCH(...)
Angabe eines Musters für die Information. Die Bedingung ist gültig, wenn der Vergleichswert in dieses Muster passt. Die Muster-Angabe ist nur für Feldnamen erlaubt, deren Werte eine Zeichenkette darstellen (<c-string>, <filename>, <name>).
PATTERN = <text>
Muster-Angabe im Format c-string 1..255, wobei analog zum SDF-Datentyp <c-string with-wild (n)> Teile der Zeichenfolge durch Platzhalter
(wild-cards) ersetzt werden können.
Die zur Verfügung stehenden Wildcard-Zeichen sind:
* | Ersetzt eine beliebige, auch leere Zeichenfolge. |
/ | Ersetzt genau ein beliebiges Zeichen. |
\ | Entwertet Platzhalter (* / < > : ,) in einer Zeichenfolge (z.B. ab\*c bezeichnet die Zeichenfolge „ab*c“). |
<sx:sy> | Ersetzt eine Zeichenfolge für die gilt:
|
| |
<s1,...> | Ersetzt alle Zeichenfolgen, auf die eine der mit s angegebenen Zeichenkombinationen zutrifft. s kann auch eine leere Zeichenfolge sein. Jede Zeichenfolge s kann auch eine Bereichsangabe <sx:sy> sein. |
VALUE = *NOT-MATCH(...)
Angabe eines Musters für die Information. Die Bedingung ist gültig, wenn der Vergleichswert nicht in dieses Muster passt. Die Muster-Angabe ist nur für Feldnamen erlaubt, deren Werte eine Zeichenkette darstellen (<c-string>, <filename>, <name>).
PATTERN = <text>
Musterangabe wie bei VALUE=*MATCH.
VALUE = list-poss(10): <text>
Die explizit angegebene Information für das Feld wird überwacht. <text> hängt vom protokollierten Datenfeld ab. Die Tabelle der Feldnamen und der dort ausgegebenen Information findet sich in der „Tabellen der protokollierbarenInformation je Objektereignis (1)“.
VALUE = list-poss(10): <integer 0..2147483647>(...)
Die explizit in Form eines Zahlenwertes angegebene Information für das Feld wird überwacht. Diese Angabe ist nur für Feldnamen erlaubt, deren Werte vom Typ <integer> sind.
UNIT = *BYTES / *KB / *MB / *GB
Angabe der Maßeinheit, in der die mit dem Operanden VALUE vorgenommene Wertangabe zu interpretieren ist. Diese Angabe ist nur für die Feldnamen filpos, curlim2 und maxlim2 erlaubt.
Dabei gilt Folgendes:
Falls implizit oder explizit UNIT=*BYTES festgelegt ist, muss der Wert ein Vielfaches von 512 sein.
Der Maximalwert von 240-512 (=1 099 511 627 264) Bytes darf auch nicht überschritten werden, wenn UNIT=*KB / *MB / *GB angegeben ist. Damit ergeben sich abhängig von der UNIT-Angabe folgende Maximalwerte:
UNIT=
Maximalwert bei VALUE
entspricht in Bytes
*BYTES
231-1 = 2 147 483 647
231-1 = 2 147 483 647
*KB
230-1 = 1 073 741 823
240-210 = 1 099 511 626 752
*MB
220-1 = 1 048 575
240-220 = 1 099 510 579 200
*GB
210-1 = 1 023
240-230 = 1 098 437 885 952
SELECT-SWITCH = *OFF(...)
Entfernt zu überwachende Information aus der Alarmdefinition.
VALUE = *ALL
Jede Information wird entfernt.
VALUE = *MATCH(...)
Angabe eines Musters für die Information. Die Bedingung ist gültig, wenn der Vergleichswert in dieses Muster passt. Die Muster-Angabe ist nur für Feldnamen erlaubt, deren Werte eine Zeichenkette darstellen (<c-string>, <filename>, <name>).
PATTERN = <text>
Muster-Angabe im Format c-string 1..255, wobei analog zum SDF-Datentyp <c-string with-wild (n)> Teile der Zeichenfolge durch Platzhalter
(wild-cards) ersetzt werden können.
Die zur Verfügung stehenden Wildcard-Zeichen sind:
* | Ersetzt eine beliebige, auch leere Zeichenfolge. |
/ | Ersetzt genau ein beliebiges Zeichen. |
\ | Entwertet Platzhalter (* / < > : ,) in einer Zeichenfolge (z.B. ab\*c bezeichnet die Zeichenfolge „ab*c“). |
<sx:sy> | Ersetzt eine Zeichenfolge für die gilt:
|
| |
<s1,...> | Ersetzt alle Zeichenfolgen, auf die eine der mit s angegebenen Zeichenkombinationen zutrifft. s kann auch eine leere Zeichenfolge sein. Jede Zeichenfolge s kann auch eine Bereichsangabe <sx:sy> sein. |
VALUE = *NOT-MATCH(...)
Angabe eines Musters für die Information. Die Bedingung ist gültig, wenn der Vergleichswert nicht in dieses Muster passt. Die Muster-Angabe ist nur für Feldnamen erlaubt, deren Werte eine Zeichenkette darstellen (<c-string>, <filename>, <name>).
PATTERN = <text>
Musterangabe wie bei VALUE=*MATCH.
VALUE = list-poss(10): <text>
Die explizit angegebene Information für das Feld wird aus der Alarmdefinition entfernt. <text> hängt vom protokollierten Datenfeld ab. Die Tabelle der Feldnamen und der dort ausgegebenen Information findet sich in der „Tabellen derprotokollierbaren Information je Objektereignis (1)“ .
VALUE = list-poss(10): <integer 0..2147483647>(...)
Die explizit in Form eines Zahlenwertes angegebene Information für das Feld wird aus der Alarmdefinition entfernt. Diese Angabe ist nur für Feldnamen erlaubt, deren Werte vom Typ <integer> sind.
UNIT = *BYTES / *KB / *MB / *GB
Angabe der Maßeinheit, in der die mit dem Operanden VALUE vorgenommene Wertangabe zu interpretieren ist. Diese Angabe ist nur für die Feldnamen filpos, curlim2 und maxlim2 erlaubt.
Dabei gilt Folgendes:
Falls implizit oder explizit UNIT=*BYTES festgelegt ist, muss der Wert ein Vielfaches von 512 sein.
Der Maximalwert von 240-512 (=1 099 511 627 264) Bytes darf auch nicht überschritten werden, wenn UNIT=*KB / *MB / *GB angegeben ist.
Damit ergeben sich abhängig von der UNIT-Angabe folgende Maximalwerte:
UNIT=
Maximalwert bei VALUE
entspricht in Bytes
*BYTES
231-1 = 2 147 483 647
231-1 = 2 147 483 647
*KB
230-1 = 1 073 741 823
240-210 = 1 099 511 626 752
*MB
220-1 = 1 048 575
240-220 = 1 099 510 579 200
*GB
210-1 = 1 023
240-230 = 1 098 437 885 952
TIME-LIMIT = *UNCHANGED / *UNDEFINED / *WITHIN(...)
Zeitraum, innerhalb dem das (mit REPEAT festgelegte, x-malige) Auftreten eines Ereignisses zu einem Alarm führt.
TIME-LIMIT = *UNDEFINED
Es wird der gesamte Zeitraum einer SAT-Protokollierung bewertet. Dies bedeutet, dass schon das x-malige Auftreten eines Ereignisses zu einem Alarm führt. Soll z.B. die falsche Eingabe von Kennwörtern überwacht werden, führt im Überwachungszustand TIME-LIMIT=*UNDEFINED auch die einmal wöchentlich falsche Eingabe (eventuell wegen Tippfehler) zu einem Alarm. Der Aufmerksamkeitswert des Alarms wird durch diese Art von Meldungen deutlich verringert. Überwachungen über große Zeiträume hinweg sind deshalb angemessener mit der Auswertung von SATLOG-Dateien durchzuführen.
TIME-LIMIT = *WITHIN(...)
Gibt den Zeitraum an, der zwischen dem ersten Auftreten und dem letzten des zu bewertenden Ereignisses liegen darf. Es sind alle drei Operanden mit Parametern zu versorgen.
DAYS = <integer 0..365>
Angabe des Zeitraums in Tagen.
HOURS = <integer 0..23>
Angabe des Zeitraums in Stunden.
MINUTES = <integer 0..59>
Angabe des Zeitraums in Minuten.
REPEAT= *UNCHANGED / <integer 1..255>
Anzahl, wie oft ein Ereignis im definierten Zeitraum eintreten muss, um einen Alarm auszulösen.
TRIGGER-ACTION = *UNCHANGED / *OPERATOR-MESSAGE(...)
Gibt an, welche Aktion ausgeführt werden soll, um den Alarm zu geben und wie darauf geantwortet werden soll. In dieser Version ist nur die Ausgabe einer Meldung (SAT2200) auf die Operator-Konsole möglich.
TRIGGER-ACTION = *OPERATOR-MESSAGE(...)
Gibt an, wie auf die Ausgabe der Meldung reagiert werden muss.
WAIT-RESPONSE = *YES / *NO
Gibt an, ob die Meldung bestätigt werden muss oder nicht.
Kommando-Returncode
(SC2) | SC1 | Maincode | Bedeutung |
0 | CMD0001 | Kommando erfolgreich ausgeführt | |
32 | SAT 0000 | Nicht behebbarer Fehler | |
64 | SAT1000 | Benutzer für Kommando nicht privilegiert | |
64 | SAT1020 | Ereignis in Ereignisliste bereits vorhanden | |
64 | SAT1022 | Feld bereits in Feldliste vorhanden | |
64 | SAT1023 | Feld hat doppelte Werte | |
64 | SAT1026 | Angegebenes Zeitlimit ungültig | |
64 | SAT1028 | Alarm unbekannt | |
64 | SAT1029 | Ereignis unbekannt | |
64 | SAT1030 | Benutzer in Benutzerliste bereits vorhanden | |
64 | SAT1035 | Wert ist kein Vielfaches von 512 oder zu groß | |
64 | SAT1050 | Kommando nur erlaubt, wenn Logging-Funktion aktiviert | |
128 | SAT1010 | Anderes Kommando wird derzeit ausgeführt | |
128 | SAT1080 | Wechsel in Vorbereitung |
Hinweise
Bei der Verwendung von Mustern für Werte eines Feldes wird nicht geprüft, ob es zu Überschneidungen kommt.
Identische Musterangaben für einen Wert eines Feldes werden ersetzt.
Beispiele
Eine Alarmbedingung sei folgendermaßen definiert:
/add-sat-alarm-conditions name=alarm1, ... -/ field-name=filname(value=*match('*abc*')), ...Das Kommando
/modify-sat-alarm-conditions name=alarm1, ... -/ field-name=filname( -/ select-switch=*on(value=*not-match('*abc*'))), ...überschreibt das Vergleichsmuster. Die Wirkung ist so, als ob die Bedingung auf folgende Weise festgelegt worden wäre:
/add-sat-alarm-conditions name=alarm1, ... -/ field-name=filname(value=*not-match('*abc*')), ...Sowohl die Angabe SELECT-SWITCH=*OFF(VALUE=*MATCH('*ABC*')) als auch SELECT-SWITCH=*OFF(VALUE=*NOT-MATCH('*ABC*')) entfernen *MATCH('*ABC*') aus der Werteliste.
Die Angabe eines festen Wertes hat keinen Einfluss auf eine Musterangabe.
Beispielsweise hat ein /MODIFY-SAT-ALARM-CONDITIONS-Kommando mit der Angabe VALUE='XABCY' keinen Einfluss auf eine Alarmbedingung, die mit VALUE=*MATCH('*ABC*')) festgelegt wurde. Der Wert ’XABCY’ ist bereits in der Musterangabe ’*ABC*’ enthalten, die Bedingung VALUE=’XABCY’ ist also automatisch erfüllt, wenn *MATCH=’*ABC*’ erfüllt ist.
Auf eine Alarmbedingung, die mit VALUE=*NOT-MATCH('*ABC*')) festgelegt wurde, hat die Angabe VALUE=’XABCY’ jedoch Einfluss. In diesem Fall gilt die Bedingung für alle Werte, die nicht in das Muster ’*ABC*’ passen, und zusätzlich für den Wert ’XABCY’.
SELECT-SWITCH=*OFF entfernt die angegebenen Objekte aus einer Liste, die mit SELECT-SWITCH=*ON oder einem entsprechenden /ADD-SAT-ALARM-CONDITIONS-Kommando definiert wurde. Falls *ALL gültig ist, wird das Objekt in eine Negativliste aufgenommen.
Die Angaben zum Operanden SELECT-SWITCH (in allen Fällen) werden nur berücksichtigt, wenn dadurch Bedingungen entstehen. Wurde beispielsweise mit dem Kommando /ADD-SAT-ALARM-CONDITIONS für einen Alarm USER-ID=*ALL festgelegt, so hat die Angabe USER-ID=HUGO(SELECT-SWITCH=*ON) im Kommando /MODIFY-SAT-ALARM-CONDITIONS keine Wirkung. Die Angabe USER-ID= HUGO(SELECT-SWITCH=*OFF) bewirkt einen Eintrag dieses Wertes in eine Negativliste.
Ist für einen Feldwert ein Muster gültig, kann durch SELECT-SWITCH= *OFF(VALUE=wert) keine Teilmenge aus dem Muster herausgelöst werden: Wenn z.B. eine Alarmbedingung mit SELECT-SWITCH=*ON(VALUE=*MATCH('*ABC*')) oder einem entsprechenden /ADD-SAT-ALARM-CONDITIONS-Kommando festgelegt wurde, ist ein /MODIFY-SAT-ALARM-CONDITIONS-Kommando mit der Angabe SELECT-SWITCH=*OFF(VALUE= 'SYSABC') wirkungslos.
Beispiel
Eine Alarmbedingung sei auf folgende Weise definiert:
/add-sat-alarm-conditions name=alarm1, -
/ field-name=filname(value=*match('*abc*')), ...Das folgende Kommando hat keine Wirkung:
/modify-sat-alarm-conditions name=alarm1, ... -/ field-name=filname( -/ select-switch=*off(value=:cati:$tsos.sysabc))Enthält eine Alarmdefinition ein Ereignis eines Produkts, für das die Aktivierung des SAT-Supports mit /MODIFY-SAT-SUPPORT-PARAMETERS gesteuert werden kann (in der aktuellen Version ist dies nur das Produkt POSIX), so kann dieser Alarm bei Auftreten des Ereignisses nur ausgelöst werden, wenn für das betreffende Produkt der SAT-Support aktiviert ist.
Für die Auswertung einer Alarmbedingung mit UNIT-Angabe ist grundsätzlich nur der Wert von Belang, der sich aus der Multiplikation der VALUE- und der UNIT-Angabe ergibt, nicht jedoch wie dieser Wert zustande kommt.
Beispiele
Die folgenden Angaben werden als gleichwertig betrachtet, da jede denselben Wert von 3145728 Bytes darstellt:
VALUE=3145728(UNIT=*BYTES) VALUE=3072(UNIT=*KB) VALUE=3(UNIT=*MB)
Ein MODIFY-SAT-ALARM-CONDITIONS-Kommando mit der Angabe
FIELD-NAME=*FILPOS(SELECT-SWITCH=*ON(VALUE=(3072(UNIT=*KB),3(UNIT=*MB))))
wird daher mit folgender Meldung zurückgewiesen:SAT1023 FIELD 'FILPOS' CONTAINS DUPLICATE VALUES. COMMAND REJECTEDEine Alarmbedingung, die mit der Angabe
VALUE=3145728(UNIT=*BYTES)in einem ADD-SAT-ALARM-CONDITIONS-Kommando gesetzt wurde, kann mit der AngabeVALUE=3(UNIT=*MB)in einem MODIFY-SAT-ALARM-
CONDITIONS-Kommando wieder aus der Alarmtabelle entfernt werden.Eine Alarmbedingung mit der Angabe
FIELD-NAME=*FILPOS(SELECT-SWITCH=*ON(VALUE=3072(UNIT=*KB)))trifft zu, wenn der zu protokollierende Satz
FILPOS=6144enthält. Grund: Die Angabe im Satz stellt ein Vielfaches von 512 Bytes dar (siehe "filepos" in "Tabelle der protokollierbaren Informationen (Feldnamen)") und 6144*512 Bytes = 3145728 Bytes = 3072 KB.
Posix-filenames und Kerberos-Namen werden von SAT ohne Einschränkung protokolliert. Bei der Definition von SAT-Alarmen wird die Groß- und Kleinschreibung bei folgenden SAT-Feldern unterstützt: AUDITID, HOMEDIR, LINKNAM, NEWPATH, PATHNAM, PRINCCL, PRINCSV, SHELL, SYMBDEV. Die Felder können mit Ausnahme von SYMBDEV allerdings nur in einer Länge von max. 255 Bytes angegeben werden. Events mit längeren Feldinhalten können durch die Angabe von Wildcards selektiert werden. Für die Angabe eines Einzelnamens (ohne Wildcards) werden Sonderzeichen zugelassen, wie sie für posix-filenames bzw. für Kerberos-Namen erlaubt sind.
Siehe auch allgemeine Hinweise zu den SAT-Kommandos "Funktionelle Übersicht".
Beispiel
Im Beispiel zu /ADD-SAT-ALARM-CONDITIONS wurde ein Alarm mit dem Namen badlogon definiert. Dieser Alarm wird durch jeden fehlerhaften Versuch, sich an der Station DSN30151 unter der Benutzerkennung SYSPRIV anzumelden, ausgelöst:
|
Dieser Alarm soll nun so geändert werden, dass jeder fehlerhafte Versuch, sich unter der Benutzerkennung SYSPRIV, zu einem Alarm führt, unabhängig von der Station, an der er erfolgt. Die Alarmdefinition wird wie folgt geändert:
/modify-sat-alarm-conditions name=badlogon,select=*parameters( -/ field-name=station(select-switch=*on(value=*all)))