Sicherheitsaspekte sind seit jeher ein wichtiger Bestandteil des Betriebssystems IBM i. Aber diese unterstützen und schützen nur, wenn man diese auch konfiguriert. Das Auditjournal ist einer der Sicherheitsbereiche, die es auf einem System i einzurichten gilt.
Nur wenn man die wenigen Konfigurationsschritte auch ausführt, dann kann man sich die Leistungen der Journale im Sicherheitsbereich auch zu Nutze machen und so eine Vielzahl unterschiedlicher sicherheitsrelevanter Transaktionen auf dem System i aufzeichnen. Leider ist die Auditjournalaktivierung nicht bei einer Standardinstallation des IBM i im Auslieferungszustand enthalten, so dass man diese bewusst aktivieren muss. Aber das sind in der Tat nur einige wenige Konfigurationsschritte. Diese sind nicht Bestandteil dieser Ausgabe, aber Voraussetzung für die Auswertungen, die ich Ihnen hier in dieser Ausgabe zeigen möchte.
Es kommt im Bereich der IBM durchaus vor, dass Produkte bereitgestellt werden, die uns als Betreiber als „unfertig“ vorkommen. So könnte man auch die Funktionen ansehen, die uns IBM im Standardlieferpaket des Betriebssystems IBM i ausliefert, die die Auditjournalfunktionalität bereitstellt. Das Sammeln der Daten und somit auch die Überwachung der sicherheitsrelevanten und von uns definierten Bereiche geschieht nach wenigen Konfigurationsschritten absolut zuverlässig.
Das Auswerten und Auslesen der gesammelten Daten ist indes ein Prozess, in den IBM seit jeher wenig Energie gesteckt zu haben scheint. Es ist dem Aufbau der unterschiedlichen Einträge der gesammelten Auditjournaleinträge geschuldet, dass eine einfache Auswertung der Einträge in dem Auditjournal mit Bordmitteln des IBM i nicht möglich ist. Wobei – nein – denn Anbietern von Security Add-Ons im System i Umfeld ist es ja auch gelungen, brauchbare Auswertungsfunktionen für das komfortable Auslesen der Sicherheitsprotokolleinträge umzusetzen.
Diese Tatsache war dann auch immer wieder eine Anforderung der System i Betreiber, doch mit Bordmitteln eben diese Auditjournaleinträge auch auswerten zu können.
Dieser Anforderung ist die IBM nun mit dem aktuellen IBM Navigator for i nachgekommen.
Der jüngste Spross der grafischen Administrationstools bietet uns nämlich unter anderem in dem Bereich Sicherheit eine Erweiterung zum unterstützen Auslesen von Auditjournaleinträgen an.
Schauen wir uns diese Navigator Erweiterung nun einmal an …
Nach dem Starten des IBM Navigator for i müssen wir den Teilbereich „Sicherheit“ in der linken Navigationsleiste aufklappen. Dort finden wir, neben verschiedenen anderen Bereichen, die die Administration der Sicherheitsthemen auf IBM i behandeln, der neuen Eintrag „Audit Journal Entries“.
Mit der Auswahl dieser Funktion gelangen wir in ein Selektionsfenster, das uns die Möglichkeit bietet, die gewünschten Einträge aus dem Audit Journal selektieren zu können.
In der Auswahlmaske finden wir neben dem Selektionsbereich für die unterschiedlichen Journaleinträge auch die Auswahl der gewünschten Auswertungsoptionen in Form der Auswahlen „Chart View“ und „Detail View“. Diese beiden Ansichtsoptionen bieten den Administratoren die Wahl eines Überblicks oder aber auch eine genauere Anzeigeoption, wenn es um gezielte Auswertungen geht.
In dem Auswahlbereich für die Audit Journal Einträge können wir die betreffenden auszuwertenden Eintragsoptionen selektieren. Hier sind natürlich auch Mehrfachauswahlen möglich, die dann je nach gewünschter Anzeigeform zu einzelnen Anzeigefenstern führen können. In der Auflistung der Auditjournaleinträge finden wir neben einem sprechenden Eintrag auch die entsprechenden Abkürzungen wieder, die in dem Auditjournal den Eintrag entsprechen klassifizieren.
Auch wenn die Anzahl der möglichen Einträge hier doch recht überschaubar ist, hat IBM dennoch einen Filter eingebaut, den wir für den direkten Zugriff auf einen gewünschten Eintrag nutzen können. Mit einer Matchcodesuche kann dann der gewünschte Eintrag schnell selektiert werden:
Per Standard wird der Ansichtsassistent auf Tagesebene gestartet. Damit lassen sich alle Einträge des betreffenden Tages als Summe aufrufen. Das kann dann durchaus sinnvoll sein, wenn man sich täglich einen kurzen Überblick über bestimmte aufgezeichnete Informationen machen will.
Alternativ dazu kann man hier auch die sogenannte Wochenview verwenden, bei der die Auditjournaleinträge einer hier anzugebenden Periode ausgewertet werden. Die Bezeichnung ist ein wenig irreführend – denn man kann hier natürlich auch eine Periode eingeben, die sich über eine Woche hinaus ziehen kann. Hier sei anzumerken, dass unter Umständen die Anzahl der Einträge in einem Auditjournal schon beachtlich sein kann – dementsprechend lang kann dann auch eine Auswertung bzw. Anzeige der Daten sein. Leider bedeutet „lange“ hier durchaus mitunter einige Minuten!
Es kommt auf die Vorselektionen an, wie das Ergebnis dargestellt werden.
In einem einfachen Fall können unter Umständen mehrere Arten von Auditjournalen in einem Fenster dargestellt werden. Schauen Sie sich dazu das nachfolgende Beispiel an, in dem zwei Arten selektiert wurden – AF und PW.
In der Summenanzeige sehen wir, dass für den ausgewählten Zeitraum zirka 580 AF Einträge und zirka 60 PW Einträge existieren.
Diese Übersicht liefert uns nicht nur einen ersten Einblick, sondern dient auch als möglicher Einstieg für Detailinformationen. Ein Doppelklick in den gewünschten Anzeigenbereich (z.B. AF) genügt, und schon erhalten wir eine Anzeige mit den Detailinformationen zu den Einträgen – und hier nun in einer lesbaren Form (die, wie Kenner wissen, je nach Eintragsart im Auditjournal im Aufbau stark variieren können).
Das Schöne an der Detailansicht ist, dass auch hier in Abgängigkeit der unterschiedlichen Eintragsarten zusätzliche Subauswahlen getroffen werden können. Nehmen wir hier einmal als Beispiel die Einträge für gelöschte Objekte (Auditeintrag DO = delete Object).
Hier unterscheiden wir die Eintragstypen A, C, D, P und R – diese können wir in dem Anzeigeassistenten in der Auswahlzeile selektieren. Man beachte: In dem Fall der DO Einträge finden wir hier als Spaltenüberschrift „Entry Type“, während für AF (Authority Failure) Einträge die Auswahl zwischen den verschiedenen Violation Type Einträgen zur Auswahl angeboten wird.
Sollten Sie die Wochensicht selektieren, dann ändert sich die Ergebnissummenanzeige – denn hier werden die einzelnen Einträge in jeweils separaten Elementen dargestellt, diese können dann für sich jeweils individuell weiter verarbeitet werden.
Wenn wir in der Anzeige auf einen Auswertungsbereich mit der rechten Maustaste klicken, dann erscheint dort ein Aktionsfenster, in dem wir die verfügbaren Aktionen auswählen können.
Mit einem Klick auf den Einzelbereich der Wochensicht gelangen wir dann in die Detailanzeige, wie ich sie Ihnen bereits zuvor gezeigt habe.
Beachten Sie zudem die Schaltfläche „Aktionen“ die sich in den verschiedenen Ansichten befindet. Von hier aus können Sie in die verschiedenen Ansichten wechseln und je nach Ausführungsebene noch weitere Aufgaben erfüllen.
Und noch ein kleiner Hinweis:
Wer sich diese Ansichten zur täglichen Überwachung nutzbar machen will, kann sich ganz einfach den Bildschirm mit der automatischen Aktualisierung konfigurieren. Damit werden die Anzeigeninhalte dann gemäß der vorgegebenen Zeitintervalle automatisch aktualisiert. Um das automatische Aktualisieren zu aktivieren, wählen wir den Aktivitätsschalter im rechten oberen Anzeigenbereich, wie es in der nachfolgenden Abbildung zu sehen ist.
Das Aktualisierungsintervall kann auf der Seite „Configure View“ individuell für den Job eingestellt werden:
Alles in allem endlich eine Abrundung der Funktionen, die es den System i Betreibern jetzt erlaubt, mit Bordmitteln des Systems die wichtigen Auswertungen des Audit Journals vornehmen zu können.
Abschließend noch einen kleinen Blick auf die Zauberhaftigkeit dieser Audit Auswertfunktion. In dem rechten oberen Anzeigenbereich finden wir unter anderem den Eintrag „SQL“. Wählen wir diesen aus, dann sehen wir auch, wie es IBM nun gelungen ist, die Audit Journal Einträge visualisieren zu können.
Wie Sie sehen, nutzt IBM hier, wie auch an vielen anderen Stellen der Administration auch, SQL Funktionen. Mit unserer Auswahl, nur bestimmte Auditjournaleinträge (in dem Fall DO – delete Object) anzuzeigen, wurde das oben gezeigte SQL zusammengebaut und dann vom Navigator for I ausgeführt.
Jörg Zeig berät freiberuflich im System i Umfeld.
Er berichtet regelmäßig für den TechKnowLetter.
Für 88 Euro gibt’s hier sechs Monate lang tiefgreifendes IBM i und SQL Wissen. Hier kann man abonnieren.