Ein Subjekt (USER) ist ein Benutzer des DV-Systems, von dem eine Aktion wie lesen, schreiben, ausführen ausgehen kann. Er wird repräsentiert durch seine Benutzerkennung.

Ein Objekt ist ein passives Element eines DV-Systems, das Daten enthält oder aufnimmt und auf das eine Aktion wie lesen, schreiben, ausführen ausgeführt werden kann.
Objekte werden in SAT durch einen Objektnamen gekennzeichnet.
Objekte sind z.B.:

• Dateien (Objektname FILE)

• Jobs (JOB)

• Bibliotheken (PLAM)

• Benutzerkennungen (USERID)

Ein Ereignis ist die Aktion eines Subjekts auf ein Objekt. Das Ergebnis eines Ereignisses ist „erfolgreich ausgeführt (RESULT=SUCCESS)“ oder „nicht erfolgreich ausgeführt (RESULT=FAILURE)“.
Ereignisse sind z.B.:

• Datei öffnen

• Job starten

• Subsystem aktivieren

• Katalog exportieren

Ein protokollierbares Ereignis (EVENT) ist ein Ereignis aus der Liste der Ereignisse, die mit SAT protokolliert werden können. Sie werden gekennzeichnet durch einen dreistelligen Kurznamen, z.B. FMD für „Datei modifizieren“ im Objekt FILE.

Protokollierbare Ereignisse werden von den Systemkomponenten mit den zugehörigen Daten an SAT gemeldet.
Eine vollständige Liste der Objekte und ihrer protokollierbaren Ereignisse finden Sie im Abschnitt „Tabelle der Objektereignisse“. Die Liste protokollierbarer Ereignisse und der zugehörigen Daten finden Sie im Abschnitt „Tabellen der protokollierbaren Information je Objektereignis (1)“.

Ein sicherheitsrelevantes Ereignis ist ein protokollierbares Ereignis, für das die Auswahlregeln, siehe Abschnitt „Auswahlverfahren“, zutreffen. Ein protokollierbares Ereignis wird demnach erst sicherheitsrelevant, wenn die Verknüpfung der Audit-Attribute des Subjekts, des Ereignisses und des Objekts die Sicherheitsrelevanz anzeigen.
Sicherheitsrelevante Ereignisse werden von SAT, ggf. nach Prüfung durch den System-Exit Nr. 110, in einer SATLOG-Datei gespeichert und können mit SATUT ausgewertet werden.

Permanent sicherheitsrelevante Ereignisse sind solche Ereignisse, die bei Einsatz von SECOS bzw. SAT unveränderbar sicherheitsrelevant sind. Für diese Ereignisse ist bereits eine Voreinstellung für das Audit-Attribut getroffen. Sie kann nicht verändert werden. Permanent sicherheitsrelevante Ereignisse sind

• Aktionen des Sicherheitsbeauftragten und der SAT-Datei-Verwaltung (Benutzerkennung SYSAUDIT und Benutzerkennungen mit dem Privileg SECURITY-ADMINISTRATION oder SAT-FILE-MANAGEMENT)
  für die Objekte SAT, SAT-ALARM und SAT-FILTER

• Aktionen mit Privilegien (Vergabe / Entzug)

Die permanent sicherheitsrelevanten Ereignisse sind im Abschnitt „Tabelle der Objektereignisse“ besonders gekennzeichnet.

Für alle anderen protokollierbaren Ereignisse entscheidet der Sicherheitsbeauftragte mit dem Kommando /MODIFY-SAT-PRESELECTION (Preselection), ob sie sicherheitsrelevant sind. Er kann einem Ereignis die Eigenschaft „sicherheitsrelevant“ sowohl vergeben als auch wieder entziehen.

Einige Ereignisse werden bei Einsatz von SECOS bzw. SAT neben den permanent sicherheitsrelevanten Ereignissen als sicherheitsrelevant erachtet. Für sie ist bereits per Voreinstellung ein Audit-Attribut festgelegt, das vom Sicherheitsbeauftragten allerdings verändert werden kann (Kommando /MODIFY-SAT-PRESELECTION).
Diese Ereignisse sind mit ihren Voreinstellungen in der „Tabelle der Objektereignisse“ aufgeführt.

CONSLOG-Ereignisse

CONSLOG- Meldungen werden vom Betriebssystem in eigenen Protokolldateien gesichert. Sie können nicht mit SAT zur Protokollierung ausgewählt werden.
Mit SATUT können auch CONSLOG-Protokolldateien in die Auswertung einbezogen werden. Dazu werden die CONSLOG- Meldungen in einen SATLOG-Satz umgewandelt. Der Kurzname für den Ereignis-Typ ist für CONSLOG-Ereignisse immer CLG. Der Inhalt des SATLOG-Satzes hängt davon ab, welcher Typ von CONSLOG- Meldung in einen SATLOG-Satz umgewandelt wurde (siehe "Tabellen der protokollierbaren Information je Objektereignis (1)").