> Tech > Dossier Administration : Devenez un détective System i

Dossier Administration : Devenez un détective System i

Tech - Par Joseph Kennedy - Publié le 16 mars 2011
email

Vous est-il déjà arrivé de rechercher des informations à propos d’un job, de l’identité de celui ou celle qui a changé un objet ?

Le System i regorge de logs, de journaux, de files d’attente de messages et d’informations objet à consulter. Mais comment s’y retrouver dans cette abondance et surtout comment en tirer l’essentiel ? Le travail de détective prend forme quand vous apprenez comment un indice peut mener à d’autres.

Avant d’entamer votre première enquête, un peu de recherche s’impose. Prenez une application et une bibliothèque que vous connaissez bien et mettez- vous à l’épreuve. Effectuez une restauration et consultez le log d’historique et les journaux d’audit pour voir ce qu’ils enregistrent. Connectez-vous au System i à l’aide de FTP puis regardez Work with Active Jobs (WRKOBJLCK) pour trouver un job qui liste le profil avec lequel vous vous êtes connecté comme utilisateur courant. Ou essayez un WRKOBJLCK *USRPRF pour voir quel job serveur FTP a un verrou. Passez aussi en revue quelques job logs et voyez quelle information vous pouvez normalement ignorer. Surtout, utilisez F1 pour examiner le détail du message, parce que c’est là que se trouve souvent la meilleure information. (Pour une liste des sources où trouver des indices, voir l’encadré « Où rechercher des informations »).

Dossier Administration : Devenez un détective System i


Vous venez d’être recruté comme administrateur pour le System i, et vous êtes prêt à nettoyer et à documenter ce qui tourne sur le système. Votre prédécesseur a gagné au loto et se prélasse sous les Tropiques.

Vous rencontrez une bibliothèque nommée PKW82151S. En regardant le texte, vous savez que c’est SecureZIP for iSeries Lib-V8.2.1. Ce que vous ne savez pas c’est si vous l’utilisez sur cette partition ou si c’est simplement un test. Dans ce dernier cas, qui l’utilisait ? Vous ne voulez pas le supprimer sans savoir ce que c’est, mais pas non plus le conserver inutilement. Voici quelques solutions à ce dilemme.

Par où commencer

En utilisant WRKOBJ PKW81251S et en sélectionnant 8 pour examiner la description de l’objet, vous voyez le profil utilisateur du fournisseur et aussi son nom système. Cette information peut sembler sans intérêt à première vue mais, si l’objet a été créé sur le système du fournisseur, elle a sûrement été restaurée sur le vôtre plutôt que d’être compilée. En feuilletant les pages, voustrouvez la date et l’heure de restauration.

En quoi cela vous aide-t-il ? Et bien, selon le logging de votre journal d’audit (en supposant que vous en utilisez un) et la durée pendant laquelle vous gardez les entrées QHST, ce sont deux endroits où vous pouvez trouver la réponse. Tout d’abord, essayez d’afficher le log pour QHST légèrement avant l’heure de restauration sur la bibliothèque, afin de voir comment la restauration s’est produite :

1. Tapez la commande DSPLOG LOG(QHST) PERIOD((105 000 121807)) pour révéler un message de restauration.

2. Placez votre curseur sur le message qui montre une restauration vers la bibliothèque PKW82151S et appuyez sur F1.

3. Utilisez F90 pour voir les détails. Cet examen révèle que j’ai soumis la restauration interactivement à partir de la session QPADEV009F.

4. Si votre log d’historique ne remonte pas aussi loin, essayez d’examiner votre journal d’audit avec DSPJRNJRN(QAUDJRN) RCVRNG(*CURCHAIN) FROMTIME (’12/18/07′ ’10:50:47′).

5. Recherchez une entrée avec Code T (pour « audit trail entry ») et tapez OR (pour Object Restore).

6. Tapez un 5 à côté de l’une des entrées et cliquez sur Entrée.

7. Appuyez sur F10 pour voir l’information qui me désigne comme le coupable. Vous pouvez utiliser la commande DSPOBJD (Display Object Description) pour trouver des informations sur de multiples objets. Certains fournisseurs vous demanderont de restaurer un programme à partir d’un fichier save puis d’exécuter le programme pour installer le reste de l’application. Pour éviter des problèmes d’autorité, les fournisseurs vous demanderont de signer vis-à-vis de QSECOFR. Bien que je désapprouve cette pratique, elle est très courante dans le monde System i.

Avec IBM et des profils génériques, le travail de détective est plus difficile parce que les actions ne sont pas liées à une personne. Mais ne craignez rien, tout n’est pas fichu pour autant. Si vous créez un fichier save et utilisez FTP pour charger l’application du fournisseur (soit en utilisant le CD du fournisseur, soit après l’avoir téléchargé sur votre PC), il peut y avoir d’autres endroits où rechercher des indices. Si le fichier save utilisé pour la restauration est encore disponible, examinez la description objet du fichier save luimême. Tapez DSPOBJ <library/save_file> en utilisant le nom d’une bibliothèque et du fichier save sur votre système. Le fichier save vous dira qui l’a créé et quand. Mais quid s’il a été créé sous QSECOFR également ? Faites défiler les pages pour voir la date et l’heure du dernier changement du fichier save. Regardez dans le journal d’audit juste avant que l’heure n’ait été changée.

Téléchargez cette ressource

Comment lutter contre le Phishing ?

Comment lutter contre le Phishing ?

Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.

Tech - Par Joseph Kennedy - Publié le 16 mars 2011