Beispiele für die Bildung komplexer Bedingungsausdrücke finden Sie bei "ADD-SELECTION-CONDITIONS". Auswertungsbeispiele in Zusammenhang mit Preselection und Postselection finden Sie in "Überwachung spezieller sicherheitsrelevanter Aktivitäten".
Der SAT-Datei-Verwalter möchte in diesem Beispiel
potenzielle Eindringversuche während der vorhergehenden Sitzung erkennen. Dazu selektiert er die SATLOG-Sätze abgewiesener LOGON-Versuche aus der SATLOG-Datei.
eine analysis-file erzeugen, die alle Ereignisse enthält, die Datei-Objekte betreffen. Diese soll zu einem späteren Zeitpunkt dezentral analysiert werden.
Voraussetzungen
Für alle schaltbaren Benutzerkennungen, also alle, außer denen mit dem Privileg SECURITY-ADMINISTRATION oder SAT-FILE-MANAGEMENT, wurde das Audit-Attribut auf OFF gesetzt:
/modify-sat-preselection user-auditing=*all-switchable(audit-switch=*off)Das Audit-Attribut aller Ereignisse, für die es verändert werden darf, wurde in der Preselection auf OFF gesetzt (siehe „Individuelle Steuerung der Auswahl).
Ausnahme: Das Ereignis „Userid prüfen“ (UCK) mit Ergebnis „FAILURE“ war zur Protokollierung ausgewählt:/modify-sat-preselection event-auditing= -
/ uck(audit-switch=*on(result=*failure))Die auszuwertende Sitzung hatte die Session-Nummer 137, ihr Beginn war am 1.3.2018.
Der SAT-Datei-Verwalter beginnt die Auswertung mit dem Start von SATUT:
|
Als Eingabe-Dateien werden die SATLOG-Dateien aus der Session 137 ausgewählt:
//select-input-files input-files=*std(session-number=137)
Um sich einen Überblick über die Aktivitäten in der ausgewählten Sitzung zu verschaffen, lässt sich der SAT-Datei-Verwalter eine Statistik auf SYSOUT ausgeben:
//show-statistics output=*sysout
Er erhält folgende Ausgabe (die genaue Bedeutung der einzelnen Ausgabefelder ist bei der Anweisung SHOW-STATISTICS erklärt):
Input-files of statement = :PCO4:$SYSAUDIT.SYS.SATLOG.2018-03-01.137.01
:PCO4:$SYSAUDIT.SYS.SATLOG.2018-03-01.137.02
:PCO4:$SYSAUDIT.SYS.SATLOG.2018-03-02.137.03
Begin of analyzed period : 2018/03/01 10:19:21.24
End of analyzed period : 2018/03/02 17:44:34.23
Elapsed time = 113113 s = 1 d 26713 s
Records/hour = 53.56
# of records = 1683
Mean length = 102.00
Mean kbytes/hour = 5.54SUMMARY OF EVENTS
-----------------
Event-class # events # events/h
----------- -------- ----------
1 : DMS
Files 711 22.63
Security 733 23.33
Rename Files 5 0.16
2 : Catalog Management 0 0.00
3 : Job Enable (Dialog & Batch)
Success 33 1.05
Failure 6 0.19
4 : Job (Rest) 33 1.05
5 : Job Variables 0 0.00
6 : BLS 15 0.48
7 : Spool
Jobs 0 0.00
Devices 0 0.00
8 : PLAM/ILAM 20 0.64
9 : DSSM
Connection/Disconnection 2 0.06
Catalog Management 17 0.54
10 : Syntax Files 0 0.00
11 : Users/Groups/Privileges
Users 87 2.77
Privileges 0 0.00
Groups 0 0.00
12 : Object Protection
GUARDS 0 0.00
Coowner Protection 0 0.00
Default Protection 0 0.00
Access Control List 0 0.00
13 : System Access Control Management
Terminal Sets 0 0.00
Operator Roles 0 0.00
Keys 13 0.41
14 : SAT 2 0.06
15 : UTM 0 0.00
16 : SESAM 0 0.00
17 : POSIX
Files and Directories 0 0.00
Child Processes 0 0.00
Processes 0 0.00
System Resources 0 0.00
18 : Communication Methods
DCAM 0 0.00
BCAM 0 0.00
IP Security 0 0.00
19 : Memory Pools 0 0.00
20 : Events
Serialization 0 0.00
Eventing 0 0.00
21 : Fast Intertask Communication 0 0.00
22 : Storage Class Events 0 0.00
23 : Data Spaces 0 0.00
24 : Volume 0 0.00
25 : ADAM device management 0 0.00
26 : ANY event (system exit) 0 0.00# EVENT # SUCC # FAIL # NONE LEN SUCC LEN FAIL LEN NONE % EVENTS % FAIL(EVENT) RECORDS/HOUR --- ----- ------ ------ ------ -------- -------- -------- -------- ------------- ------------ 1 FCD 59 0 0 108.61 0.00 0.00 3.51 0.00 1.88 2 FCL 298 0 0 97.52 0.00 0.00 17.71 0.00 9.48 3 FCS 58 0 0 106.02 0.00 0.00 3.45 0.00 1.85 4 FDD 64 2 0 100.62 99.00 0.00 3.92 3.03 2.10 5 FDS 64 20 0 103.94 100.50 0.00 4.99 23.81 2.67 6 FED 33 0 0 101.09 0.00 0.00 1.96 0.00 1.05 7 FMD 92 0 0 95.16 0.00 0.00 5.47 0.00 2.93 8 FMS 11 0 0 121.91 0.00 0.00 0.65 0.00 0.35 9 FRD 162 1 0 100.68 97.00 0.00 9.69 0.61 5.19 10 FRN 5 0 0 148.60 0.00 0.00 0.30 0.00 0.16 11 FRS 391 189 0 106.45 110.13 0.00 34.46 32.59 18.46 12 JBE 16 2 0 81.06 71.50 0.00 1.07 11.11 0.57 13 JDE 17 4 0 79.29 83.75 0.00 1.25 19.05 0.67 14 JED 16 0 0 58.94 0.00 0.00 0.95 0.00 0.51 15 JIN 17 0 0 69.00 0.00 0.00 1.01 0.00 0.54 16 KTC 13 0 0 125.00 0.00 0.00 0.77 0.00 0.41 17 LCL 10 0 0 128.50 0.00 0.00 0.59 0.00 0.32 18 LEE 10 0 0 124.50 0.00 0.00 0.59 0.00 0.32 19 SCR 14 3 0 79.71 78.33 0.00 1.01 17.65 0.54 20 SDS 2 0 0 85.00 0.00 0.00 0.12 0.00 0.06 21 UAD 2 0 0 81.00 0.00 0.00 0.12 0.00 0.06 22 UCK 71 10 0 82.70 82.90 0.00 4.81 12.35 2.58 23 UML 2 0 0 81.00 0.00 0.00 0.12 0.00 0.06 24 URM 1 1 0 81.00 81.00 0.00 0.12 50.00 0.06 25 XLD 10 0 0 199.00 0.00 0.00 0.59 0.00 0.32 26 XUL 5 0 0 80.00 0.00 0.00 0.30 0.00 0.16 27 ZBG 3 0 0 245.33 0.00 0.00 0.18 0.00 0.10 28 ZCH 2 0 0 130.00 0.00 0.00 0.12 0.00 0.06 29 ZND 3 0 0 83.33 0.00 0.00 0.18 0.00 0.10 --- ----- ------ ------ ------ -------- -------- -------- -------- ------------- ------------ TOTAL: 1451 232 0 101.26 106.65 0.00 100.00 13.78 53.6
Der SAT-Datei-Verwalter legt die erste Auswahlbedingung mit dem Namen „badlog“ fest. Sie bezieht sich auf alle Datensätze, die das Ereignis „Userid prüfen“ mit dem Ergebnis „FAILURE“ betreffen.
//add-selection-conditions name=badlog, -
// condition=evt equal ’uck’ and res equal f
Die zweite Auswahlbedingung namens „file“ bezieht sich auf Datensätze, in denen Ereignisse protokolliert sind, deren Kurzname mit dem Buchstaben „F“ beginnt. Das sind alle Ereignisse, die Datei-Objekte betreffen.
//add-selection-conditions name=file,condition=evt match ’f*’
Mit dem folgenden Kommando wird die Aufbereitung für beide Bedingungen in einem Schritt durchgeführt. Alle Datensätze, die der Auswahlbedingung „badlog“ genügen, werden in die Arbeitsdatei 0 geschrieben, alle Sätze, die die Bedingung „file“ erfüllen, in die Arbeitsdatei 5.
|
% SAE7001 'START-SELECTION' STATEMENT TERMINATED. '10' RECORDS SELECTED IN WORK FILE ' 0' % SAE7001 'START-SELECTION' STATEMENT TERMINATED. '1449' RECORDS SELECTED IN WORK FILE ' 5'
Es gab also 10 misslungene LOGON-Versuche und 1449 Ereignisse, die Datei-Objekte betrafen.
Die Datensätze mit den Ereignissen, die Datei-Objekte betrafen, werden zum Zweck der dezentralen Analyse in die Datei ANALYZE.FILE-EVENTS geschrieben.
//save-selected-records to-reduction-name=analyze.file-events,from-file=5
Da dem SAT-Datei-Verwalter die Anzahl der misslungenen LOGON-Versuche für eine sofortige Auswertung zu hoch erscheint, möchte er die Auswahl noch weiter einschränken. Zunächst informiert er sich über die bereits bestehenden Auswahlbedingungen.
//show-selection-conditions
SELECTION CONDITION NAME : BADLOG
SELECTION CONDITION :
EVT EQUAL 'UCK'
AND RES EQUAL F
================================================================================
SELECTION CONDITION NAME : FILE
SELECTION CONDITION :
EVT MATCH 'F*'
================================================================================
Er möchte nur die fehlerhaften LOGON-Versuche auswerten, die auf die Benutzerkennung „TSOS“ erfolgten. Dazu legt er eine weitere Auswahlbedingung fest, mit der Datensätze ausgewählt werden, die im protokollierten Datenfeld OBJ-UID den Wert TSOS enthalten (siehe „Tabellen der protokollierbaren Information je Objektereignis (1)“).
//add-selection-conditions name=uidtsos,condition=obj-uid equal ’tsos’
Dann leitet der SAT-Datei-Verwalter eine zweite Aufbereitung ein. Alle Datensätze aus der Arbeitsdatei 0, die der Bedingung „uidtsos“ genügen, sollen in die Arbeitsdatei 1
geschrieben werden. Da die Sätze in der Arbeitsdatei 0 bereits die Bedingung „badlog“ erfüllen, ist das Ergebnis dieser Aufbereitung die Menge aller Datensätze, für die beide Bedingungen („badlog“ und „uidtsos“) wahr sind.
|
% SAE7001 'START-SELECTION' STATEMENT TERMINATED. '3' RECORDS SELECTED IN WORK FILE ' 1'
Nur noch drei Datensätze sind das Ergebnis dieser Auswahl. Sie sollen zur
Detailauswertung nach SYSLST ausgegeben werden.
//show-selected-records from-file=1
Schließlich gibt der SAT-Datei-Verwalter noch eine Statistik der Session mit Histogramm auf SYSLST aus. Dann beendet er den Auswertungslauf.
//show-statistics from-file=*input-files,histogram=*yes
//end
% SAE5004 SAT FILE EVALUATOR TERMINATED NORMALLY
SYSLST zeigt auf den Seiten 1 und 2 das Ergebnis von //SHOW-SELECTED-RECORDS.
SATUT V05.5A 2018-03-06 15:44:22 PAGE 1
PROCESSED STATEMENT : SHOW-SELECTED-RECORDS
************************************************************************************************************************************
INPUT-FILES OF STATEMENT :
:PCO4:$SYSAUDIT.#SATUT.WORK-01.06.154351
SATUT V05.5A 2018-03-06 15:44:22 PAGE 2
PROCESSED STATEMENT : SHOW-SELECTED-RECORDS
************************************************************************************************************************************
EVT RES DATE TIME TSN USER-ID
UCK F 20180301 163627 0DHC TSOS OBJ-UID= TSOS STATION= $$$06015 PROCNAM= XYZ0231X
CHKMODE= DIALOG REJR = 03400001
UCK F 20180302 141855 0DHG TSOS AUDITID= D4C3C8C88995A97CC6E2C34BD5C5E3 OBJ-UID= TSOS
STATION= $$$06007 PROCNAM= XYZ4711X CHKMODE= NET-DIALOG-ACCESS
REJR = 02400001 PRINCCL= MCHHinz@FTS.NET
UCK F 20180302 144612 0DHI TSOS AUDITID= D4C3C8D2A495A97CC6E2C34BD5C5E3 OBJ-UID= TSOS
STATION= $$$06009 PROCNAM= XYZ0815X CHKMODE= NET-DIALOG-ACCESS
REJR = 1E400001 PRINCCL= MCHKunz@FTS.NETDer folgende Teil der Liste zeigt das Ergebnis von //SHOW-STATISTICS und ist weitgehend identisch mit der Statistikausgabe auf SYSOUT zu Beginn dieser Sitzung. Zusätzlich enthält er das Histogramm der Ereignisse.
SATUT V05.5A 2018-03-06 16:17:07 PAGE 1
PROCESSED STATEMENT : SHOW-STATISTICS
**********************************************************************************************************************************
Input-files of statement = :PCO4:$SYSAUDIT.SYS.SATLOG.2018-03-01.137.01
:PCO4:$SYSAUDIT.SYS.SATLOG.2018-03-01.137.02
:PCO4:$SYSAUDIT.SYS.SATLOG.2018-03-02.137.03
Begin of analyzed period : 2018/03/01 10:19:21.24
End of analyzed period : 2018/03/02 17:44:34.23
...
SATUT V05.5A 2018-03-06 16:17:07 PAGE 4
PROCESSED STATEMENT : SHOW-STATISTICS
***********************************************************************************************************************************
# +---------+---------+---------+---------+---------+---------+---------+---------+---------+---------+
2018/03/01 10:19 1 |ZZ
2018/03/01 10:20 37 |FFFFFFFFF|FFFFFFFFJ|JJJJJKKSS|SSSSSSSSS|SUUUU
2018/03/01 10:21 35 |FFFFFFFFF|FFFFFFFFF|FFFJJJJJJ|JJJSSSSUU|UU
2018/03/01 10:22 4 |JJKKUUU
2018/03/01 10:23 1 |UU
2018/03/01 10:24 4 |JJKKUUU
2018/03/01 10:25 2 |JJUU
2018/03/01 10:26 3 |JJUUU
2018/03/01 10:27 2 |JJUU
2018/03/01 10:28 0 |
2018/03/01 10:29 0 |
2018/03/01 10:30 0 |
2018/03/01 10:31 3 |FFFUU
2018/03/01 10:32 1 |UU
...
2018/03/02 16:48 30 |FFFFFFFFF|FFFFFFFFF|FFFFFFFFF|FFFXX
2018/03/02 17:27 2 |FFF
2018/03/02 17:28 22 |FFFFFFFFF|FFFFFFFFF|LLLLXXX
2018/03/02 17:42 5 |FFFFFJJ
2018/03/02 17:43 19 |FFFFFFFFF|FFFFFFJJJ|SSXX
2018/03/02 17:44 2 |FFZZ
# +---------+---------+---------+---------+---------+---------+---------+---------+---------+---------+
SATUT V05.5A 2018-03-06 16:17:07 PAGE 9
PROCESSED STATEMENT : SHOW-STATISTICS
***********************************************************************************************************************************EXPLANATION ON USED LETTERS: ---------------------------- F : FCD, FCL, FCS, FDD, FDS, FED, FMD, FMS, FRD, FRN, FRS J : JBE, JDE, JED, JIN K : KTC L : LCL, LEE S : SCR, SDS U : UAD, UCK, UML, URM X : XLD, XUL Z : ZBG, ZCH, ZND
In einer letzten, nur zum Teil mit SAT oder programmtechnisch automatisierbaren Auswertung müssen die ausgewählten Datensätze beurteilt werden, um daraus ggf. weitere Aktionen abzuleiten.
Im Beispielfall werden die ausgewählten Datensätze auf SYSLST anhand der „Tabellen der protokollierbaren Information je Objektereignis (1)“ manuell bewertet.
EVT RES DATE TIME TSN USER-ID
UCK F 20180301 163627 0DHC TSOS OBJ-UID= TSOS STATION= $$$06015 PROCNAM= XYZ0231X
CHKMODE= DIALOG REJR = 03400001
UCK F 20180302 141855 0DHG TSOS AUDITID= D4C3C8C88995A97CC6E2C34BD5C5E3 OBJ-UID= TSOS
STATION= $$$06007 PROCNAM= XYZ4711X CHKMODE= NET-DIALOG-ACCESS
REJR = 02400001 PRINCCL= MCHHinz@FTS.NET
UCK F 20180302 144612 0DHI TSOS AUDITID= D4C3C8D2A495A97CC6E2C34BD5C5E3 OBJ-UID= TSOS
STATION= $$$06009 PROCNAM= XYZ0815X CHKMODE= NET-DIALOG-ACCESS
REJR = 1E400001 PRINCCL= MCHKunz@FTS.NETGemäß Tabelle für das Objekt USERID auf "Tabellen der protokollierbaren Information je Objektereignis (2)" werden „obj-uid“ und „chkmode“ stets protokolliert, „station“, „procnam“, „rejr“ und „princcl“ können protokolliert sein.
Eine mögliche Vorgehensweise ist nun, zu untersuchen, ob an einer bestimmten Datenstation oder im Batch eine Häufung von LOGON-Versuchen aufgetreten ist, die wegen Benutzerfehlers zurückgewiesen wurden. Dies könnte darauf hindeuten, dass versucht wurde, durch Ausprobieren von Passwörtern in das System einzudringen.
Die Analyse zeigt in diesem Fall, dass innerhalb des gesamten Auswertungszeitraums von mehr als 24 Stunden nur drei LOGON-Versuche für TSOS (obj-uid) im Dialog (chkmode) wegen Benutzerfehlers (rejr) abgewiesen wurden (siehe Tabelle auf "Tabellen der protokollierbaren Information je Objektereignis (2)"). Diese erfolgten zudem von unterschiedlichen Datenstationen (station und procnam). Daher würde die Analyse hier insgesamt zu dem Ergebnis „unbedenklich“ führen.