Der Filtermechanismus erlaubt dem Sicherheitsbeauftragen eine Verfeinerung der Preselection und bietet damit die Möglichkeit, die Aufzeichnungsmenge detaillierter zu verringern.
Falls eine Aufzeichnung nach Sicherheitsstandard F2/Q3 gewünscht ist, dürfen keine Filter eingesetzt werden. Es muss die Standard-Preselection benutzt werden.
Es dürfen maximal 32 Filterbedingungen mit folgenden Angaben festgelegt werden:
Ereignisse und Resultat
Subjekte (USER-ID)
Informationen (Felder und deren Inhalt).
Für Feldwerte, die zeichenweise darstellbar sind (z.B. <c-string>, <filename>), können Wildcards angegeben werden.
Diese Angaben können als Positivlisten (einzelne Aufzählungen) oder Negativlisten (*ALL, außer einzelne Aufzählungen) erfolgen. Sie werden durch logisches UND miteinander zu einer Bedingung verknüpft.
Eine Filterbedingung trifft also dann auf einen Protokollsatz zu, wenn alle Teilangaben auf den Protokollsatz zutreffen.
Für jede Filterbedingung wird mit dem Operanden TRIGGER-ACTION der Kommandos /ADD-SAT-FILTER-CONDITIONS oder /MODIFY-SAT-FILTER-CONDITIONS eine Aktion festgelegt, die ausgeführt werden soll, wenn die Filterbedingung auf den Protokollsatz zutrifft.
Für TRIGGER-ACTION kann festgelegt werden:
*LOGGING (RECORDING=*YES )
Der Protokollsatz muss aufgezeichnet werden, wenn die Bedingung zutrifft.
*LOGGING (RECORDING=*NO )
Das Ereignis soll nicht aufgezeichnet werden, falls keine andere zutreffende Filterbedingung die Aufzeichnung verlangt.
Ein Protokollsatz wird also nur dann nicht aufgezeichnet, wenn alle auf ihn zutreffenden Filterbedingungen die Angabe TRIGGER-ACTION=*LOGGING(RECORDING=*NO) enthalten.
Trifft auf einen Protokollsatz keine Filterbedingung zu, wird er aufgezeichnet.
Der Filtermechanismus wird mit folgenden Kommandos gesteuert:
ADD-SAT-FILTER-CONDITIONS | Einrichten einer Filterbedingung |
MODIFY-SAT-FILTER-CONDITIONS | Modifizieren einer Filterbedingung |
REMOVE-SAT-FILTER-CONDITIONS | Entfernen einer Filterbedingung |
SHOW-SAT-FILTER-CONDITIONS | Anzeigen einer Filterbedingung |
Die Filterdefinitionen können in der SAT-Parameter-Datei gesichert werden, um sie bei der nächsten Sitzung wieder zu verwenden. Nicht explizit gesicherte Definitionen verfallen mit der Beendigung des Systemlaufs. Gesicherte Definitionen werden mit Beginn des nächsten Systemlaufs automatisch aktiviert.
Auswertung der Filterbedingungen
Die Filterbedingungen werden nach der Preselection für die schaltbaren Benutzerkennungen und die nicht permanent sicherheitsrelevanten Ereignisse
ausgewertet, die nicht bereits durch die Preselection entfernt wurden. Schaltbare Benutzerkennungen sind alle Benutzerkennungen, außer SYSAUDIT und den Kennungen mit dem Privileg SAT-FILE-MANAGEMENT oder SECURITY-Administration. Nicht permanent sicherheitsrelevante Ereignisse sind Ereignisse, deren Audit-Attribut veränderbar ist („J“ in der Spalte „Audit-Attribut Änd“ der „Tabelle der Objektereignisse“ff).
Hinweise zur Performance des Filtermechanismus
Der Filtermechanismus bietet die Möglichkeit, durch den Vergleich mit der Information zu Ereignissen (Felder und ihre Inhalte) die Aufzeichnungsmenge gezielt zu verringern. Die dazu erforderlichen Vergleichsoperationen führen jedoch gegenüber der normalen Preselection zwangsläufig zu Performanceeinbußen in SATCP. Die Definition und der Einsatz von Filterbedingungen sollte daher sorgfältig überlegt werden.
Aktivierung eines Filters
Ein Filter wird sofort nach seiner Definition (Kommando /ADD-SAT-FILTER-CONDITIONS) aktiv und bleibt es bis zum Ende des Systemlaufs oder bis er mit dem Kommando /REMOVE-SAT-FILTER-CONDITIONS gelöscht wird. Während dieser Zeit kann die Definition gespeichert, geändert oder angezeigt werden.