監査レコードとオブジェクト変更日時の関係

プログラムへの変更を検出するために書き込まれるレポートやその他のオブジェクトは、 セキュリティー監査ジャーナル内の情報ではなくオブジェクトの「変更日/時刻」フィールドに基づいていることが あります。 以下のリストでは、オブジェクトの日付とオブジェクトのソースの日付が異 なっている場合がある理由について説明します。

オペレーティング・システムがオブジェクト変更日を更新する理由は多数あります。以下にいくつかの例を示します。
  • ユーザー・プロファイルにオブジェクトへの専用権限が付与されており、このオブジェクトが削除されると、 その専用権限を除去するときにこのユーザー・プロファイルの「変更日/時刻」フィールドがシステムにより更新されます。
  • オブジェクトが削除されるときにセキュリティー監査がオンである場合は、削除されるオブジェクト に DO (削除操作) 監査レコードが書き込まれます。
  • 削除されるオブジェクトへの専用権限を持つ各ユーザー・プロファイ ルがシステムにより自動的に更新されるため、 「変更日/時刻」フィールドが更新される場合でも、これらのユーザー・プロファイルに監査レコードは 書き込まれません。
  • 実行時にオブジェクトに対して内部更新が行われる場合。これには、ランタイム統計、オブジェクト変換、および追加情報を保持するために使用中のオブジェクトのサイズを拡張する場合などがあります。通常、これらのオブジェクト更新では、セキュリティー監査レコードが QAUDJRN 監査ジャーナルに送信されることはありません。

ユーザーがオブジェクトを変更するために通常のシステム・インターフェースを使用した日時を追跡するには、 セキュリティー監査ジャーナルを使用します。 オブジェクトの「変更日/時刻」フィールドにのみ基づいているオブジェクトへの変更を 検出するレポートでは、部分的な結果のみが生成されます。

一般的なセキュリティー監査に「変更日/時刻」フィールドを使用すべきでない理由

IBM® i の監査項目を決定する 場合に使用する主な指針は、ユーザーのセキュリティー関連処置を監査することです。2 番目の指針は、オペレーティング・システムが自動的に実行する操作に対して監査レコードを書き込まないことです。 ユーザーも使用するように設計されている機能を使用してオペレーティング・システムが操作を実行した場合は、 これらの自動操作が監査されることがあります。

オブジェクトの「変更日/時刻」フィールドを保守する目的は、 監査目的によって異なります。 「変更日/時刻」フィールドの主な目的は、オブジェクトの変更日時を示すことです。 更新された「変更日/時刻」フィールドには、オブジェクトの変更項目や変更者は示されません。 このフィールドの主な使用目的の 1 つは、変更オブジェクト保管 (SAVCHGOBJ) コマンドを使用して オブジェクトを保管する必要があることを示すことです。 SAVCHGOBJ コマンドでは最終変更日時を認識する必要はなく、 オブジェクトを最後に保管してから変更が行われたことだけを認識する必要があります。 この機能を使用すると、データベース・ファイルに対するパフォーマンスが最適化されます。 「変更日/時刻」フィールドは、ファイルが最後に保管されてから最初に変更されたときにのみ更新されます。 ファイル内のレコードに対して更新、追加、または削除が行われるごとに「変更日/時刻」フィールドが 更新されると、パフォーマンスに影響を与えることがあります。

親トピック: IBM i のセキュリティー監査