Voreinstellungen

Die Auswahl-Einstellungen von SAT bei erstem Einsatz bzw. ohne individuelle Steuerung sind:

Auswahl für die laufende Session

Die Auswahl sicherheitsrelevanter Benutzerkennungen und Ereignisse sowie der Verknüpfungsregel und des Aufzeichnungsumfangs kann vom Sicherheitsbeauftragten mit dem Kommando /MODIFY-SAT-PRESELECTION getroffen werden, wenn SAT aktiv ist.

Wird SAT vom Sicherheitsbeauftragten mit dem Kommando /HOLD-SAT-LOGGING angehalten und im gleichen Systemlauf mit dem Kommando /RESUME-SAT-LOGGING wieder gestartet, gelten die gleichen Auswahl-Einstellungen wie vor dem Anhalten.
Ist SAT angehalten, kann die Auswahl sicherheitsrelevanter Ereignisse nicht verändert werden, das Kommando /MODIFY-SAT-PRESELECTION wird nicht ausgeführt.

Auswahl für Folgesessions

Der Sicherheitsbeauftragte kann die Sicherheitsrelevanz von Benutzerkennungen und Ereignissen sowie die Verknüpfungsregel auch für nachfolgende Sessions festlegen.

Einstellungen für Benutzerkennungen (USER) und Datei-Objekte (FILE) gelten automatisch in nachfolgenden Sessions, da sie im Benutzerkatalog bzw. im Dateikatalog hinterlegt sind. Für Ereignisse, die Voreinstellung für neue Benutzerkennungen, die

Verknüpfungsregel und den Aufzeichnungsumfang müssen die Festlegungen explizit mit dem Kommando /SAVE-SAT-PARAMETERS in der SAT-Parameter-Datei gespeichert werden, um beim nächsten Systemstart wirksam zu werden.

Hinweis zur Auswahl von Benutzerkennungen

Standardmäßig erhält jede neue Benutzerkennung das Audit-Attribut ON, d.h. alle von ihr ausgelösten Ereignisse werden automatisch protokolliert. Hält der Sicherheitsbeauftragte dies nicht für notwendig, kann er diese Voreinstellung modifizieren, so dass alle neuen Benutzerkennungen das Audit-Attribut OFF erhalten.

Beispiel

Für alle neuen und alle schaltbaren Benutzerkennungen wird das Audit-Attribut auf OFF gesetzt (Schaltbare Benutzerkennungen sind alle Kennungen, außer SYSAUDIT und Kennungen mit dem Privileg SECURITY-ADMINISTRATION oder SAT-FILE-MANAGEMENT). Für die Benutzerkennungen <user1>, <user2>, <user3>, ... wird das Audit-Attribut auf ON gesetzt. Das bedeutet: alle Ereignisse, die von den Benutzerkennungen <user1>, <user2>, <user3>, ... ausgelöst werden, sind sicherheitsrelevant und werden protokolliert.

Die Kennung TSOS und alle Benutzerkennungen, die ein von STD-PROCESSING abweichendes Privileg erhalten haben, sollten stets protokolliert werden. Die Kennungen des Sicherheitsbeauftragten, die Kennung SYSAUDIT und Kennungen mit dem Privileg SAT-FILE-MANAGEMENT werden immer protokolliert. Das Ausschalten der Protokollierung ist für diese Kennungen nicht möglich. Wird einer Benutzerkennung mit Audit-Attribut OFF das Privileg SECURITY-ADMINISTRATION (nur über Startup-Parameterservice) oder SAT-FILE-MANAGEMENT (Kommando /SET-PRIVILEGE) zugeteilt, dann wird ihr Audit-Attribut automatisch auf ON gesetzt.

Hinweis zur Auswahl von Ereignissen

Individuelle Auswahlsteuerungen, die bereits bei STARTUP wirksam sein sollen, können entweder in der SAT-Parameter-Datei gespeichert werden oder sie müssen nach jeder Systemeinleitung erneut durch den Sicherheitsbeauftragten über das Kommando /MODIFY-SAT-PRESELECTION bekanntgegeben werden (z.B. in einem automatisch ablaufenden Batchauftrag).

Beispiel

Die Ereignisse „Programm laden/ausführen“ (XLD) und „Programm entladen“ (XUL) sollen unabhängig von ihrem Ergebnis zur Protokollierung ausgewählt werden. Das Ereignis „Userid hinzufügen“ (UAD) soll bei erfolgreicher Ausführung protokolliert werden, das Ereignis „Userid prüfen“ (UCK) bei nicht erfolgreicher Ausführung. Abweichend von der Voreinstellung im System hält der Sicherheitsbeauftragte UTM-Ereignisse (TRM) für nicht sicherheitsrelevant und möchte sie daher nicht protokollieren.
Diese Einstellungen sollen auch in nachfolgenden Sessions gelten.

Zur Einstellung der Auswahl ist folgendes Kommando erforderlich:

Damit diese Einstellung automatisch bei STARTUP wirksam ist, kann man das Kommando in einem Batch-Job ausführen, der bei jedem STARTUP abläuft. Es empfiehlt sich stattdessen jedoch, nach einmaliger Ausführung des Kommandos MODIFY-SAT-PRESELECTION die Einstellung in der SAT-Parameter-Datei zu speichern mit

/save-sat-parameters event-preselection=*current

Minimierung der Anzahl protokollierter Ereignisse

Die Menge der protokollierten Ereignisse kann mit folgendem Kommando minimiert werden:

/modify-sat-preselection event-auditing=(                               -
/ cep(audit-switch=*off),cip(audit-switch=*off),gad(audit-switch=*off), -
/ gmd(audit-switch=*off),grm(audit-switch=*off),jbe(audit-switch=*off), -
/ jde(audit-switch=*off),jfk(audit-switch=*off),jin(audit-switch=*off), -
/ jvg(audit-switch=*off),jvm(audit-switch=*off),jvs(audit-switch=*off), -
/ kea(audit-switch=*off),ked(audit-switch=*off),kpa(audit-switch=*off), -
/ kpd(audit-switch=*off),kpm(audit-switch=*off),ktc(audit-switch=*off), -
/ kxm(audit-switch=*off),mac(audit-switch=*off),psc(audit-switch=*off), -
/ psd(audit-switch=*off),scr(audit-switch=*off),sct(audit-switch=*off), -
/ sdl(audit-switch=*off),shd(audit-switch=*off),srm(audit-switch=*off), -
/ srs(audit-switch=*off),tba(audit-switch=*off),tbd(audit-switch=*off), -
/ tbe(audit-switch=*off),tbi(audit-switch=*off),tka(audit-switch=*off), -
/ tkc(audit-switch=*off),tkp(audit-switch=*off),tkr(audit-switch=*off), -
/ trm(audit-switch=*off),tvm(audit-switch=*off),twk(audit-switch=*off), -
/ uad(audit-switch=*off),uck(audit-switch=*off),udm(audit-switch=*off), -
/ uds(audit-switch=*off),uml(audit-switch=*off),ump(audit-switch=*off), -
/ uop(audit-switch=*off),urm(audit-switch=*off),usl(audit-switch=*off), -
/ uul(audit-switch=*off),uup(audit-switch=*off),uus(audit-switch=*off), -
/ vda(audit-switch=*off),vdu(audit-switch=*off),vid(audit-switch=*off), -
/ vip(audit-switch=*off))

Damit wird die Protokollierung für alle Ereignisse abgeschaltet, für die vom BS2000 bereits ein Audit-Attribut per Voreinstellung festgelegt ist, das aber verändert werden darf (siehe Abschnitt „Tabelle der Objektereignisse“).