4. Audit OS/400

de connaître le genre d’informations collectées afin de savoir ce qui est à votre disposition.

Ensuite, n’oubliez pas de consulter le journal d’audit. Je ne peux pas améliorer votre mémoire, mais je peux indiquer à quels égards le contenu du journal d’audit pourrait vous intéresser.

La plupart des systèmes contiennent les entrées évidentes résultant de défaillances d’autorité. Mais, au-delà, beaucoup sont configurés pour collecter des données chaque fois qu’un objet est créé ou supprimé, qu’un profil est développé ou modifié, ou qu’un objet change de propriétaire. Beaucoup d’utilisateurs ne réalisent pas l’information dont ils disposent quand un objet de production est supprimé. Si la valeur *DELETE est spécifiée dans la valeur système QAUDLVL et si la valeur système QAUDCTL a spécifié *AUDLVL, cette comparaison produit une entrée de journal d’audit chaque fois qu’un objet est supprimé. (Vous pouvez voir rapidement les valeurs d’audit du système en exécutant la commande DSPSECAUD (Display Security Auditing). La prochaine fois qu’un fichier ou qu’un fichier stream sera supprimé sans que vous sachiez pourquoi, essayez de trouver une entrée du journal d’audit qui documente ce qui s’est produit. Le type d’entrée pour cela est une entrée « DO » (deletion of object) qui contient l’information et le profil du job utilisés pour effectuer la suppression. Cette information est précieuse pour analyser et déboguer ce qui s’est passé.