Auditora sobre objetos en AS/400 Conozca las herramientas para registrar y auditar la actividad sobre objetos en el sistema AS/400.

Las funciones de auditora en OS/400 incluyen la posibilidad de registrar las operaciones que se realizan sobre un determinado objeto. A travs de esta herramienta es posible seleccionar un objeto e indicar que se anote cada vez que cualquier usuario lo modifica o simplemente lo consulta o lo lee. La anotacin producida incluye no slo el tipo de operacin realizada sino tambin qu usuario la efectu, la fecha, la hora y el trabajo involucrado. Tambin existe la posibilidad de registrar las tareas realizadas sobre el objeto auditado, dependiendo de quin es el autor de la operacin. Todas estas funciones de auditora se materializan activando y parametrizando adecuadamente el Journal de Seguridad.

Auditora en AS400
OS/400 realiza una amplia gama de anotaciones o registros de las distintas actividades que se llevan a cabo en el sistema. Las anotaciones de trabajo (job log), como tambin las anotaciones histricas del sistema (history log) comprenden parte de las herramientas disponibles y son aquellos tipos de registros que el sistema operativo efecta por omisin, sin solicitar al usuario interviniente ningn tipo de parametrizacin. A stos se le suman los registros especficos implementados a travs de diarios (journals): base de datos, seguridad, comunicaciones, accounting que deben ser activados voluntariamente mediante objetos *JRN y *JRNRCV. Desde las primeras versiones del OS/400 se incluy entre sus capacidades de registracin al Audit Journal o Journal de auditora. Esta herramienta es capaz de registrar todo evento relacionado con la seguridad con un nivel de detalle muy completo, y que se fue enriqueciendo con sucesivas versiones de OS/400. Creaciones y supresiones de objetos, ABMs de perfiles de usuarios, errores en inicios de sesin, invocaciones a programas que adoptan la autorizacion de su propietario, son solamente algunas de las posibilidades de auditora disponibles en AS/400. Las opciones de auditora ofrecidas por el sistema operativo, permiten efectuar interesantes combinaciones trabajando en tres niveles diferentes (no excluyentes) que varan en la amplitud de la jornalizacin a arrancar:

Auditora del sistema registrando todo lo que ocurre para todos los usuarios. Auditora sobre las tareas realizadas por un determinado usuario. Auditora sobre las acciones que se realizan sobre objetos especficos. Este ltimo es el que desarrollaremos en este tip.

Activacin de la auditora en AS/400

Independientemente de cual de los tres casos anteriores se seleccione, deben tenerse en cuenta dos consideraciones:

Todos los eventos relacionados con la seguridad se anotan a travs de una pareja de objetos: eldiario (objeto de tipo *JRN) y el receptor de diario conectado (objeto de tipo *JRNRCV). Por lo tanto es necesario crearlos. La jornalizacin es de uso opcional, no viene activa por default. Es necesario cumplir ciertos pasos sencillos para que la activacin sea exitosa. Los pasos a llevar a cabo son los siguientes: 1. 2. Crear un receptor de diario (objeto tipo *JRNRCV) en una biblioteca determinada (comando CRTJRNRCV). Este objeto es el que contendr todas las anotaciones relacionadas con la seguridad. Crear un diario (objeto tipo *JRN) con nombre QAUDJRN en la biblioteca QSYS (comandoCRTJRN) y asociarlo al receptor de diario creado en el paso anterior.

3.

Este paso es el que define, segn lo almacenado en los valores del sistema, cul es el tipo de auditora a realizar. Para activar la auditora sobre objetos, QAUDCTL debe establecerse en *OBJAUD y seleccionar con CHGOBJAUD cules son los objetos a auditar. No es necesario modificar el valor del sistema QAUDLVL para activar exclusivamente la auditora de objetos.

Auditora sobre objetos: Cmo seleccionar los objetos a auditar

El mandato CHGOBJAUD permite indicarle a OS/400 cules objetos, de todos los existentes en el sistema, se desea auditar. La siguiente pantalla muestra el prompt del comando:

Los dos primeros parmetros: Objeto y Tipo de objeto son los que permiten identificar el objeto a auditar. El tercer parmetro Valor de auditora de objeto (palabra clave OBJAUD) especifica qu tipo de operaciones efectuadas sobre el objeto deben quedar registradas en el journal de seguridad . Puede tomar los siguientes valores:

*NONE: utilizacin o cambio del objeto no produce entrada relacionada con la seguridad. *USRPRF: analiza en el perfil de usuario que hace el acceso si la operacin efectuada debe quedar registrada. En este caso, el mandato CHGUSRAUD permite establecer, a travs del parmetro Valor de auditora de objeto (palabra clave OBJAUD), un valor de auditora diferente para este usuario cuando accede al objeto en cuestin. *CHANGE: cambio del objeto realizado por cualquier usuario queda registrado. *ALL: cambio o lectura del objeto realizado por cualquier usuario queda registrado. El siguiente esquema muestra la relacin entre los parmetros involucrados:

El uso de los parmetros Valor de auditora de CHGOBJAUD y tambin de CHGUSRAUD permiten generar combinaciones donde existan objetos para los cuales cualquier accin realizada por cualquier usuario quede registrada (ver recuadro rojo), como as tambin anotar slo las operaciones sobre ese objeto que un determinado usuario realiza (ver recuadros verdes). El atributo Valor de auditora de objeto, como se explica en los prrafos anteriores, se puede modificar con CHGOBJAUD, pero tambin es posible que los objetos se generen con ese atributo establecido en un determinado valor. El parmetro Crear auditora de objeto (palabra clave CRTOBJAUD) del mandato CRTLIB, permite establecer qu Valor de auditora de objeto se necesita para los objetos que se generen dentro de la biblioteca. Si este atributo de la biblioteca fue establecido en un valor distinto de *NONE, cada objeto creado dentro de ella ser auditado (siempre que se hayan respetado los pasos de activacin y sin necesidad de utilizar CHGOBJAUD). El valor de sistema QCRTOBJAUD permite seleccionar qu valor debe tener por default el parmetro Crear auditora de objetos del mandato CRTLIB.

Visualizacin y anlisis de las entradas de auditora generadas

Para visualizar las entradas de auditora generadas una de las opciones disponibles es el comandoDSPJRN QAUDJRN. La siguiente pantalla aparece:

Las entradas 1 y 2 estn relacionadas con el arranque de la jornalizacin. La entrada con nmero de secuencia 3, de tipo SV (Cambio a valor de sistema), documenta la modificacin del valor del sistema QAUDCTL al nuevo valor *OBJAUD. Si se visualiza la entrada con opcin 5 aparece lo siguiente:

La entrada con nmero de secuencia 4, de tipo AD (Cambiar atributo de auditora), registra la ejecucin del mandato CHGOBJAUD. La opcin 5 permite conocer de que objeto se trata y cuales operaciones sobre dicho objeto se registrarn:

La entrada con nmero de secuencia 6, de tipo ZR (acceso lectura objeto), documenta que se realiz una operacin de lectura sobre el archivo:

De la misma manera, las entradas con nmero de secuencia 7 y 8 registran operaciones de cambio efectuadas sobre el objeto auditado.

En cualquiera de las visualizaciones de entradas mostradas anteriormente puede utilizarse la tecla de funcin F10=Visualizar slo detalles de entrada para conocer fecha, hora y usuario que realiz la operacin, desde cul trabajo y tambin desde qu programa.La siguiente pantalla muestra el resultado:

Es importante tener en claro que la auditora de objetos abarca la registracin de las operaciones efectuadas sobre l, por ejemplo, el usuario XXX ley el objeto o el usuario YYY modific el objeto. El valor anterior de un atributo alterado del objeto y el valor que posteriormente qued no son registrados por la auditora de objetos . En el caso particular de los archivo fsicos de datos el valor anterior y posterior a una modificacin puede registrarse si el archivo est siendo jornalizado a travs de la jornalizacin de archivos de base de datos. Para este caso, el arranque de la jornalizacin debe hacerse con el comando STRJRNPF luego de haber creado un receptor de diario y un diario.

Para tener en cuenta...

A pesar de que OS/400 no solicita ningn tipo de parametrizacin con respecto a las anotaciones de la job log, existen posibilidades de controlar el nivel de detalle de la informacin registrada, como tambin la accin a tomar por el sistema con todo aquello que anot cuando el trabajo finaliza (parmetro LOG en la descripcin de trabajo utilizada por el job). Otra alternativa sencilla para arrancar la jornalizacin de seguridad es hacerlo desde Operations Navigator de Client Access Express. Iniciar una conexin, desde el item Base de datos se puede crear el diario y el receptor de diario. Desde Seguridad y luego Polticas de auditorase selecciona a travs de check boxes las opciones necesarias. Desde pantalla verde, puede activarse o desactivarse y tambin visualizarse el estado de la auditora desde los mandatos CHGSECAUD (opcin 10 del men SECTOOLS) y DSPSECAUD(opcin 11 del men

SECTOOLS) respectivamente. El comando CHGSECAUD permite arrancar la auditora con valores *ALL (todas las posibilidades) o *DFTSET (*AUTFAIL, *CREATE, *DELETE, *SECURITY y *SAVRST). Tambin se encarga de crear el diario QAUDJRN en QSYS y el receptor de diario con nombre AUDRCV0001 en QGPL.

El mandato DSPJRN posee el parmetro Salida (palabra clave OUTPUT) para seleccionar la forma de visualizacin. La opcin *OUTFILE permite generar un archivo, objeto de tipo *FILE PF-DTA, con las entradas del diario QAUDJRN convertidas en registros. Este archivo podr luego ser consultado desde QUERY/400, SQL/400 o un programa HLL. Una forma amigable de visualizar las anotaciones de auditora es a travs de la opcin 22 (Entradas de diario de auditora) del men SECTOOLS. El mandato ejecutado esDSPAUDJRNE e invoca a una batera de queries ya creados segn el tipo de entrada seleccionada. Independientemente del tipo de auditora establecida, es muy probable que se generen gran cantidad de anotaciones. Es importante establecer el valor del umbral para los receptores de diario (en el comando CRTJRNRCV), como tambin determinar si la creacin de los nuevos receptores ser tarea del sistema o del usuario (parmetro Gestionar receptores, palabra clave MNGRCV del comando CRTJRN). El default de este parmetro en pantalla verde es *USER, pero en Operations Navigator es *SYSTEM. Si se desea realizar auditora del sistema registrando todo lo que ocurre para todos los usuarios, QAUDCTL debe establecerse en *AUDLVL y en QAUDLVL seleccionar la actividad a registrar. Esto no inhabilita de ninguna manera la auditora sobre objetos o sobre un determinado usuario.